Instituto Politécnico de Setúbal
Escola Superior de Ciências Empresariais
Os Serviços em Cloud na ótica de
Utilização Empresarial: Um estudo de
Viabilidade
Joaquina Maria Olivença Andrade Lemos Marchão
Dissertação apresentada para cumprimento dos requisitos necessários à obtenção do grau
de
MESTRE EM SISTEMAS DE INFORMAÇÃO ORGANIZACIONAIS
Orientadora: Professora Doutora Maria Leonilde dos Reis
Setúbal, 2012
Agradecimentos
À minha filha adolescente, que aceitou bem a minha ausência e soube proporcionar-me
tranquilidade.
Ao meu marido, por me incentivar e compreender os meus momentos de impaciência.
Ao meu pai (in memoriam), por me ter transmitido o desejo de aprender sempre mais.
À minha mãe, pelo suporte familiar com que sempre pude contar.
À minha orientadora Professora Doutora Leonilde Reis, pelos conselhos sábios e constante
estímulo nos muitos momentos de desânimo que tive.
Ao meu Diretor Engenheiro Manuel Chaves Magalhães, pelo desafio que me lançou de
estudar esta temática.
Ao Professor Doutor José Rascão, pelo interesse demonstrado e por ter partilhado comigo
aspetos relevantes da sua experiência profissional.
Aos meus amigos de longa data, Drª Isilda Ferreira e Dr. Armando Baptista, pelo interesse
demonstrado e pelo tempo dedicado à revisão final deste documento.
A todos os que de forma direta ou indireta contribuíram ou facilitaram a concretização
deste trabalho.
1
Resumo
O conceito de Cloud Computing tem evoluído na vertente de modelos de serviços
baseados numa pool de recursos tecnológicos. Estão disponíveis por subscrição através da
internet. Utiliza-se a tecnologia de virtualização para otimização dos recursos, os quais são
partilhados por todos os clientes, num formato de self-service. Desta característica resulta
um comportamento elástico e escalável dos recursos. A gestão do serviço disponibilizado
efetua-se em função do acordo de níveis de serviço estabelecido entre cliente e o
fornecedor de Cloud.
Procurámos analisar a viabilidade da adoção deste conceito na ANA, Aeroportos
através de duas perspectivas: utilização de serviços de gestão e arquivo do correio
eletrónico em infraestrutura do fornecedor (Public Cloud), e virtualização de ambiente de
trabalho desktop em servidores de Datacenter interno (Private Cloud).
Recorremos à metodologia exploratória e descritiva através de revisão de literatura,
observação direta, reuniões internas informais e contactos com fornecedores.
Constatou-se que cada fornecedor adequa os modelos de negócio à sua especialidade,
originando um mercado muito heterogéneo e de difícil análise comparativa dos serviços
oferecidos.
Para serviços de gestão e armazenamento de correio electrónico, os serviços em
Cloud do fornecedor proporcionam: maior controlo dos custos, gestão mais eficiente e
mais capacidade disponível para armazenamento da informação. Para os ambientes de
trabalho, defendem-se soluções centralizadas de virtualização de desktops em servidores
internos de Datacenter que possibilitem aceder ao ambiente de trabalho a partir de um
qualquer computador disponível no interior da organização.
Este é um tema transfronteiriço, imaturo e em rápida evolução, colocando desafios a
vários níveis. No aspeto tecnológico os desafios relacionam-se essencialmente com a
interoperacionalidade de soluções dos diferentes fornecedores e a largura de banda
disponível para comunicações. Normalização a nível regulatório é outro importante
desafio. As principais conclusões apontam para a realização de protótipos que avaliem no
terreno a viabilidade das soluções propostas. No aspeto contratual a ressalva vai para o
cuidado na escolha do fornecedor e na contratualização de níveis de serviços adequados.
Palavras-chave: Cloud Computing; Serviços em Cloud; Paas; SaaS; IaaS;
Virtualização de desktops
2
Abstract
The concept of cloud computing is related to service models. Those services are
based on a pool of technological resources and they are available by subscription over the
internet. The resources are optimized through virtualization technology and shared by all
customers in a self-service format. This feature results in a scalable and elastic behavior
on resources. The service provided is managed in order to meet the service level
agreement established between client and the cloud provider.
We tried to analyze the feasibility of adoption of this concept in ANA airports
through two perspectives: email archiving services in the provider’s infrastructure (Public
Cloud), and virtualization desktop managed in internal servers located in the enterprise’s
Datacenter (Private Cloud). We use exploratory and descriptive methodology, with
literature review, direct observation, internal meetings and informal contacts with
providers.
We found a market very heterogeneous. Each provider makes business models suited
to their specialty. It was difficult to compare services offered.
The email archiving services in a Cloud provider gives a greater control of costs,
more efficiency and more space for archiving. For desktops, hosted desktop virtualization
solutions in the enterprise datacenter were the choice, allowing access to the desktop
environment from any computer available within the organization.
Cloud Computing is a global paradigm, without boundary, immature and in quick
development, presenting challenges at various levels. In the technological aspect
challenges are related to the interoperability of solutions from different providers and an
available bandwidth for communications. Standardization at the regulatory is another
important challenge. The conclusions lead to the realization of prototypes to assess in the
field the feasibility of proposed solutions. In the contractual aspect the focus goes to the
careful choice of the provider and the contract of appropriate service levels.
Key-words: Cloud Computing; Cloud Services; PaaS; SaaS; IaaS; Virtualization
3
Agradecimentos ..................................................................................................................... 1
Resumo .................................................................................................................................. 2
Abstract.................................................................................................................................. 3
Lista de Figuras ..................................................................................................................... 6
Lista de Abreviaturas ............................................................................................................. 7
Glossário ................................................................................................................................ 8
1.
Introdução .................................................................................................................. 9
1.1.
1.2.
1.3.
1.4.
2.
Apresentação e relevância do tema .......................................................................... 9
Objetivos do trabalho ............................................................................................... 9
Metodologia ........................................................................................................... 10
Estrutura ................................................................................................................. 10
Enquadramento Teórico ......................................................................................... 11
2.1. Introdução ao conceito de Cloud Computing ......................................................... 11
2.2. Evolução do Conceito ............................................................................................ 14
2.3. Modelos de Cloud Computing ............................................................................... 15
2.3.1. Modelos de Serviços ........................................................................................ 15
2.3.1.1. Software as a Service (SaaS) .................................................................... 15
2.3.1.2. Platform as a Service (PaaS) .................................................................... 15
2.3.1.3. Infrastructure as a Service (IaaS) ............................................................. 16
2.3.2. Modelos de Implementação ............................................................................. 16
2.3.2.1. Public Cloud ............................................................................................. 17
2.3.2.2. Private Cloud ............................................................................................ 17
2.3.2.3. Community Cloud ..................................................................................... 17
2.3.2.4. Hybrid Cloud ............................................................................................ 17
2.4. Outros Conceitos relacionados com Cloud Computing ......................................... 17
2.4.1. Virtualização .................................................................................................... 17
2.4.2. Grid Computing ............................................................................................... 19
2.4.3. Service Oriented Architecture ......................................................................... 20
2.5. Segurança em Sistemas de Informação .................................................................. 22
2.5.1. A Segurança no contexto da Cloud ................................................................. 22
2.6. IT Governance ........................................................................................................ 26
2.7. Grupos Internacionais e Projetos Europeus relacionados com Cloud.................... 30
2.7.1. EuroCloud group ............................................................................................. 31
2.7.2. Cloud Security Alliance ................................................................................... 31
2.7.3. Cloud Computing Use Case group .................................................................. 32
2.7.4. Open Cloud Consorcium ................................................................................. 32
2.7.5. Cloud Standards Customer Council ................................................................ 32
2.7.6. Projeto TClouds ............................................................................................... 33
3.
Caracterização da Organização ............................................................................. 34
3.1.
3.2.
3.3.
3.4.
Morada e Localização ............................................................................................ 34
Missão .................................................................................................................... 35
Visão....................................................................................................................... 35
Princípios................................................................................................................ 35
4
3.5. Valores ................................................................................................................... 35
3.6. Organograma .......................................................................................................... 36
3.7. Recursos Humanos ................................................................................................. 36
3.8. Sistemas de Informação/Tecnologias de Informação............................................. 37
3.8.1. Sistemas de Informação ................................................................................... 37
3.8.2. Ambientes de Trabalho .................................................................................... 38
4.
Análise de soluções de Cloud .................................................................................. 40
4.1. Virtualização de Desktops ...................................................................................... 40
4.1.1. O conceito e sua abrangência .......................................................................... 41
4.1.2. Principais Fornecedores ................................................................................... 43
4.1.2.1. Algumas Soluções de Virtualização de Desktops ..................................... 44
4.1.3. Análise de Viabilidade..................................................................................... 44
4.1.3.1. Vantagens .................................................................................................. 45
4.1.3.2. Condicionantes.......................................................................................... 45
4.1.3.3. Exequibilidade .......................................................................................... 46
4.2. Serviço de Gestão e Armazenamento de Correio Eletrónico, na Cloud ................ 47
4.2.1. Vantagens ........................................................................................................ 48
4.2.2. Condicionantes ................................................................................................ 49
4.2.3. Exequibilidade ................................................................................................. 49
4.3. Conclusão ............................................................................................................... 50
5.
Conclusões e Perspetivas de Trabalho Futuro ...................................................... 51
5.1.
5.2.
Conclusões ............................................................................................................. 51
Perspetivas de Trabalho Futuro .............................................................................. 52
Referências ......................................................................................................................... 53
5
Lista de Figuras
Figura 1: Modelo de Referência do conceito de Cloud. ...................................................... 16
Figura 2: Locais onde a Organização tem atividade............................................................ 34
Figura 3: Organograma da ANA, Aeroportos de Portugal, S.A. ......................................... 36
Figura 4: Mercado de fornecedores de soluções de Virtualização de Desktops .................. 43
6
Lista de Abreviaturas
API - Application Programming Interface
AVAC – Sistemas de Aquecimento, Ventilação e Ar Condicionado
CAPEX – Capital Expenses
CEO - Chief Executive Officer
CIO – Chief Information Officer
CMDB – Configuration Management DataBase
COBIT - Control Objectives of Information and related Technologies
COSO - Committee of Sponsoring Organizations of the Treadway Commission
CRM – Costumer Relationship Management
EBS - Enterprise Service Bus
EEE – Electrical and Electronic Equipment
ERP – Enterprise Resource Planning
ITIL – Information Technology Infrastructure Library
MIT – Massachusetts Institute of Technology
OPEX – Operational Expenses
PT – Posto de Trabalho
SI – Sistemas de Informação
SLA – Service Level Agreement
SOA - Service Oriented Architecture
SOC - Service Organization Control
SOX - Sarbanes-Oxley
TCO - Total Cost of Ownership
TI – Tecnologias de Informação
TIC – Tecnologias de Informação e Comunicação
VDI - Virtual Desktop Infrastructure
7
Glossário
Broker – Significa Intermediário no idioma Inglês, no contexto do presente trabalho
relaciona-se com o sistema que recebe e envia informação de e para diferentes sistemas.
CAPEX – Sigla que deriva de Capital Expenditure no idioma Inglês e que significa
Gastos de Capital. Estes relacionam-se com a aquisição de bens de investimento.
EEE - Equipamentos elétricos e electrónicos. Pelo Decreto-Lei n.º 230/2004, EEE
são equipamentos cujo funcionamento depende da corrente elétrica, nos quais se incluem
os computadores, ou outros que possuam campos eletromagnéticos.
Front Office e Back Office: Front office pode considerar-se a parte “visível” do
serviço, a qual contempla atividades onde existe contacto entre o cliente e os elementos
que compõem o serviço. Em Back office estão as atividades que ocorrem sem contato com
o cliente e que estão na retaguarda da operação de serviço. Referido por Silva Menezes e
Ferreira (2006).
IaaS - Sigla universalmente aceite que deriva de Infrastructure as a Service e que se
refere a uma infraestrutura tecnológica disponibilizada através de browser, para uso em
modo de serviço.
OPEX – Sigla que deriva de Operational Expenditure no idioma Inglês e que
significa Gastos Operacionais. Estes gastos relacionam-se com bens de consumo e serviços
de manutenção de bens de investimento.
PaaS - Sigla universalmente aceite que deriva de Platform as a Service e que se
refere a uma plataforma tecnológica disponibilizada através de browser, para uso em modo
de serviço.
SaaS – Sigla universalmente aceite que deriva de Software as a Service e que se
refere a software que é disponibilizado através de browser, para uso em modo de serviço.
SAS 70 Tipo II – Formalmente identificado como “Type II Service Auditor’s Report”
ou “Independent Service Auditor’s Report on Controls Placed in Operation and Tests of
Operating Effectiveness”, este relatório de auditoria fornece aos prestadores de serviços
externos a verificação de que o serviço, as politicas e os procedimentos efetuados estão
desenhados e a operar corretamente durante um dado período.
8
1. Introdução
Neste capítulo fazemos uma breve apresentação do tema, dos objetivos do trabalho,
das metodologias utilizadas e da forma como o presente documento está estruturado.
1.1. Apresentação e relevância do tema
O conceito de Cloud Computing tem sido discutido em grande medida pela vertente
de redução dos custos, um aspeto apreciável neste momento de crise financeira que afeta
de modo geral todas as empresas.
Os modelos de serviços em Cloud Computing, que estão subjacentes à adoção deste
conceito, procuram disponibilizar pacotes de soluções standard e recursos tecnológicos
geridos de forma mais eficiente por fornecedores especializados.
A especialização dos fornecedores de soluções de Cloud pode libertar as equipas de
Tecnologias de Informação para se concentrarem na resposta às necessidades do negócio,
em aspetos que vão para além da tecnologia.
Para um desempenho inovador das equipas de TI importa naturalmente apostar no
reforço ao nível dos conhecimentos e competências. Aliando competências de negócio às
competências técnicas, as equipas de TI aportam maior valor à organização e estão melhor
posicionadas para responder às necessidades desta, em cada momento.
Diariamente as áreas de Tecnologias de Informação e Comunicação (TIC) das
organizações procuram disponibilizar as soluções que melhor suportem e dinamizem os
negócios da organização. São, no entanto, constantemente confrontadas com dificuldades,
por vezes inconciliáveis, de dar resposta às necessidades das áreas de negócio, estando
dotados dos mesmos meios ou por vezes até de menos. Referimo-nos a recursos
financeiros e tecnológicos mas também a recursos técnicos qualificados e conhecedores
dos processos de negócio da organização.
1.2. Objetivos do trabalho
O objetivo primário deste trabalho foi analisar o conceito de Cloud Computing e
procurar os benefícios que este pudesse trazer à organização, fossem eles económicos, de
eficiência ou inovação. Na análise deste conceito, deliberadamente, não foi considerada
qualquer redução de postos de trabalho. Podíamos alegar motivos de responsabilidade
social corporativa, mas efetivamente acreditamos que os recursos técnicos existentes na
9
ANA Aeroportos são válidos e capazes. Assim, ao invés, propomos o reforço dos
conhecimentos e competências da equipa técnica, para melhor responder aos constantes
desafios colocados à organização, nesta era da mobilidade e da comunicação à escala
global.
Este estudo pretende analisar se é viável a ANA Aeroportos de Portugal utilizar o
conceito de Cloud Computing, quer na implementação de um modelo de serviços em
Cloud para a gestão e armazenamento de correio electrónico, quer para os ambientes de
trabalho corporativos.
1.3. Metodologia
A Revisão de literatura especializada foi a primeira preocupação, visando a
familiarização com o tema. Paralelamente utilizou-se metodologia exploratória,
pesquisando na internet opiniões de especialistas, modelos de implementação e
fornecedores de soluções no mercado de serviços de Cloud. Na análise da situação interna
da organização utilizou-se metodologia descritiva.
Na recolha de dados utilizaram-se como instrumentos: levantamento documental,
entrevistas informais aos técnicos da área de TIC, observação direta de informação em
diferentes sistemas e informação disponibilizada por fornecedores.
1.4. Estrutura
O documento está estruturado em sete capítulos.
O primeiro capítulo faz a Introdução ao tema, sua relevância e atualidade.
No segundo capítulo procedemos ao Enquadramento Teórico e clarificação de
conceitos.
No terceiro capítulo procede-se à Caracterização da Organização.
No quarto capítulo procede-se à Análise de Soluções de Cloud.
No quinto capítulo procede-se às Conclusões e Perspetivas de Trabalho Futuro.
10
2. Enquadramento Teórico
É conhecido que a evolução tecnológica a que se tem assistido nos últimos anos tem
proporcionado o aumento da eficiência nas organizações. Os operadores de
telecomunicações têm vindo a disponibilizar banda larga e velocidades superiores a custos
cada vez menores. Os fabricantes de tecnologias de consumo têm contribuído para essa
evolução introduzindo no mercado uma profusão de dispositivos móveis multifuncionais,
bastante diversificados e apelativos, quer em termos de características, quer de preços.
Têm também surgido, a um ritmo acelerado, aplicações Web (executadas através de
internet Browser), em detrimento de aplicações que necessitam ser instaladas em desktops.
Referindo Song (2011), a cultura de empresa é cada vez mais impulsionada por
trabalhadores mais jovens, mais conectados e móveis, as empresas que não construam a
fundação para apoiar um modelo de computação flexível encontrará cada vez mais
obstáculos difíceis de gerir.
Num contexto económico desfavorável a pressão sobre as Organizações é muito
elevada. Tal facto obriga a uma concentração de esforços, quer através da inovação e da
procura de novas oportunidades de negócio, quer no aumento da qualidade do serviço
prestado e na melhoria da eficiência na utilização dos recursos, quer também no controlo e
racionalização dos custos.
E neste sentido, são as áreas TIC das Organizações chamadas a desempenhar um
importante papel na criação de valor das Organizações e para Brandl (2007) um dos
maiores desafios dos Chief Information Officer (CIO) é conseguirem estabelecer uma
relação de transparência entre os gastos TIC e as áreas de negócio, utilizando centros de
custo, unidades de custeio, processos ou atividades. Essa relação com o negócio pretende
identificar onde as TI criam valor na Organização.
Este capítulo procura abordar o que diferentes autores entendem por Cloud
Computing e também, embora de forma sucinta, outros conceitos relacionados com esta
temática.
2.1. Introdução ao conceito de Cloud Computing
O conceito “Cloud Computing” na vertente de modelos de serviços baseados em
plataformas partilhadas, disponibilizados por fornecedores especializados, não é novo.
Como exemplo refira-se que serviços de correio eletrónico e outras soluções de
11
produtividade baseados em plataformas partilhadas já existem há muito tempo com
acentuada utilização a nível individual. A nível empresarial, diversos estudos convergem
na conclusão de existência de vantagens na sua adoção.
O grupo analista IDC (2010) desenvolveu um estudo junto de 673 CIO europeus
procurando apurar que tipo de serviços ou soluções utilizavam nas suas empresas, e se já
utilizavam serviços em Cloud ou planeavam usar nos próximos cinco anos.
Aproximadamente 50% declararam não utilizarem serviços em Cloud e cerca de 30%
afirmaram que não o fariam nos próximos cinco anos. O que o estudo veio revelar foi que
60% das empresas europeias utiliza algum serviço em Cloud, apesar dos CIO poderem não
ter consciência disso.
O Observatório Europeu de Tecnologia da Informação (2011, citado por Albizu,
2011) estima que Cloud Computing seja um setor em forte crescimento na União Europeia,
crescendo à taxa de 20% ao ano.
Castro (2009) concluiu no seu trabalho de mestrado que o mercado de pessoas
individuais já aderiu ao conceito de Cloud Computing e refere que, por motivos históricos,
as empresas preferem ter a posse e o controlo absoluto dos recursos tecnológicos, mas na
sua opinião, os padrões de consumo estão a mudar. O aparecimento de cada vez maior
número de aplicações e soluções empresariais de Cloud Computing, aliado à procura
crescente por parte da empresa, de novas formas de otimização dos custos e dos
investimentos aplicados em TI, estão a provocar essa mudança.
O grupo analista IDC (2010) refere que “é essencial que os CIO estejam preparados
para analisarem as ofertas de Cloud Computing e responder a uma série de ‘novos’
desafios” fora da sua zona de conforto. Para Gens (2010), o conceito vai revolucionar a
próxima década numa ótica de modelos de venda de serviços na internet. Este analista
refere ainda que “o CIO necessita de acrescentar valor e inovação às operações da empresa
tendo disponível um orçamento menor (70-90% OPEX e de preferência sem CAPEX) ” e
que a sua estratégia deverá focar-se:
− Na Redução de Custos, procurando otimização do DataCenter, Green IT,
Virtualization, Cloud e Outsourcing;
− No Alinhamento Empresarial, através da inovação, da satisfação das necessidades
do negócio, da modernização, da implementação de soluções analíticas e de
ITSM;
12
− Na Gestão do Risco, com IT Governance, Business Continuity, Disaster Recovery,
Segurança, e Compliance.
O conceito de Cloud Computing não tem sido claro nem unânime e na opinião de
Mell & Grance (2009) deve-se ao facto de estar ainda em evolução.
Segundo Rhoton (2010), Cloud Computing é um meio de entrega de serviços pela
internet. A IDC (2010) também define Cloud Computing como sendo o conjunto de
produtos, serviços e soluções empresariais ou individuais, entregues em tempo real através
da Internet e acrescenta ainda que apresentam as seguintes características:
- Os Serviços são Standard e partilhados (construídos para um mercado, e não
apenas para uma empresa ou utilizador);
- Conjunto integrado de soluções (tipo “chave-na-mão”);
- Self-service, ou seja, o próprio cliente configura os recursos que necessita, assim
como o número de utilizadores que pretende tenham acesso a esses recursos;
- Escaláveis, isto é, o cliente pode obter ou libertar os recursos que necessita, não
havendo limitações na capacidade de obtenção desses mesmos recursos;
- Faturação com base na utilização;
- Acessível através de ligação à Internet e de Browser (interface utilizador standard);
- API pública.
Para Rosenberg e Mateos (2011) são cinco os princípios que definem Cloud
Computing:
− Disponibilização de uma pool de recursos computacionais, para utilização de
qualquer subscritor;
− Utilização de recursos computacionais, virtualizados para maximizar o hardware;
− Elasticidade e escalabilidade dinâmica na alocação dos recursos, em resposta às
necessidades dos clientes;
− Automatização (através de API) da criação, configuração e extinção de máquinas
virtuais;
− Modelo de pagamento em função dos recursos utilizados.
Para Mell e Grance (2011) do National Institute of Standards and Tecnology (NIST)
o conceito de Cloud Computing é ainda um paradigma. Referem ser um modelo que
permite, de forma abrangente e cómoda, solicitar o acesso pela internet a um conjunto
partilhado de recursos de computação, facilmente configuráveis, que podem ser
13
disponibilizados com o mínimo de esforço de gestão ou interação do prestador do serviço.
Para os autores este conceito é definido através de cinco características essenciais (SelfService, Acesso universal, Partilha de Recursos, Elasticidade e Serviço Medido), três
modelos de serviços (SaaS, PaaS e IaaS) e quatro modelos de implementação (Privado,
Público, Híbrido ou Comunitário).
A característica de Self-Service procura que o cliente possa dar resposta às suas
necessidades unilateralmente e sem interação do fornecedor do serviço, escolhendo ele
próprio os recursos de que pretende dispor, tais como sistema operativo, capacidade de
computação ou de armazenamento.
O acesso universal refere-se à utilização dos serviços pela Internet, com protocolos
Standard de comunicação para diferentes equipamentos terminais.
A elasticidade no uso dos recursos computacionais refere-se ao comportamento
elástico e escalável que o sistema adota quando aprovisiona e liberta dinamicamente esses
recursos, de acordo com as necessidades de cada cliente, a cada momento.
Os recursos disponibilizados dinamicamente situam-se numa mesma infraestrutura
física do fornecedor, são partilhados pelos diferentes consumidores consoante a sua
necessidade, permitindo economias de escala e a efetiva otimização dos ativos utilizados.
Mell e Grance (2011) referem ainda que essa infraestrutura é controlada pelo fornecedor e
que o cliente não conhece qual a sua localização exata, apenas tem como referência o País
ou o Datacenter.
A característica de medição do serviço pretende proporcionar alguma transparência
entre o fornecedor do serviço e o cliente, através da disponibilização de relatórios de uso
dos recursos. Estes recursos são monitorizados pelo fornecedor e entregues ao cliente de
acordo com o modelo de serviço contratado.
2.2. Evolução do Conceito
De acordo com Dalakov (2011), o conceito de Cloud Computing tem as suas raízes
no início dos anos 60 do século XX. McCarthy, do Massachusetts Institute of Technology
(MIT), em 1961 sugere que a tecnologia de computação partilhada (Computing Timesharing Tecnology) e até aplicações específicas acedidas por muitos utilizadores pudessem
no futuro ser vendidos através do modelo de negócio baseado na utilização dos recursos de
computação (Utility Computing), chegando mesmo a compará-lo com o modelo de negócio
da distribuição de água ou eletricidade. Ainda nessa década Licklider, também do MIT,
14
surge com a ideia de uma rede intergaláxica de computadores conectados entre si, com
acesso a programas e dados a partir de qualquer local. Esta ideia viria a ser a precursora da
atual internet.
No entanto nessa época, as tecnologias de hardware, software e telecomunicações
não estavam ainda em condições de suportar essas ideias revolucionárias e só no final
década de 90, com o aparecimento da World Wide Web e a disponibilização crescente de
largura de banda, a ideia de Utility Computing volta a ganhar força.
A empresa Salesforce em 1999 foi a pioneira na disponibilização de aplicações
empresariais, acedidas por um dispositivo que tivesse instalado um navegador de internet.
2.3. Modelos de Cloud Computing
Os fornecedores têm-se ajustado ao mercado de acordo com a sua especialidade e
como resultado vêm sendo disponibilizados modelos de serviços diversificados, derivações
dos três modelos base.
2.3.1.
Modelos de Serviços
Apesar da diversidade que o mercado já oferece, os modelos de Serviços que são
universalmente aceites resumem-se a três: SaaS; PaaS e IaaS.
2.3.1.1.
Software as a Service (SaaS)
Neste modelo são disponibilizadas soluções estandardizadas e de utilização
generalizada, normalmente baseadas em subscrição. A disponibilização pode ser gratuita
ou ter subjacente um pagamento periódico, relacionado com a utilização e/ou o consumo
de recursos. As aplicações nestes modelos são produtos seguros e controlados,
tendencialmente orientados a áreas de produtividade e ambientes colaborativos. A sua
utilização de forma alargada possibilita que o fornecedor obtenha economias de escala.
Como o processo é executado em infraestrutura controlada pelo fornecedor, também
pequenas atualizações e novas funcionalidades podem ser instaladas centralmente e de
modo a que o utilizador quase não se aperceba. Neste modelo podemos referir como
exemplo aplicações como You Tube ; Gmail ou Google Docs.
2.3.1.2.
Platform as a Service (PaaS)
Este modelo permite disponibilizar plataformas de suporte às aplicações. Os
utilizadores deste grupo são essencialmente programadores. Frequentemente estes utilizam
15
os recursos, as ferramentas e as APIs disponibilizadas pelos fornecedores destas
plataformas, para desenvolver e instalar as aplicações que depois se disponibilizam em
modelo de SaaS. Também neste modelo o utilizador não tem controlo sobre o sistema
operativo, o hardware ou infraestrutura de rede sobre a qual estão em execução as
aplicações. Como exemplo referimos MicrosoftAzure ou Google App Engine.
2.3.1.3.
Infrastructure as a Service (IaaS)
Neste modelo o utilizador usa e pode controlar alguns dos recursos de computação
disponibilizados pelos fornecedores de Cloud, tais como: sistema operativo, discos,
memória, largura de banda, segurança, entre outros - num formato de tipo utility. Este
modelo, pela sua natureza, ao permitir aos clientes maior flexibilidade e gestão sobre os
recursos utilizados também lhes exige um esforço suplementar de trabalho quando
comparado com os serviços em modelos de SaaS ou PaaS. Como exemplo podemos referir
Amazon Web Services, com serviços de armazenamento: Simple Storage Solution (S3); e
serviços de computação elástica em Cloud: Amazon Elastic Compute Cloud (EC2).
A Figura 1 mostra, em esquema, o conceito de Cloud Computing.
Figura 1: Modelo de Referência do conceito de Cloud.
Fonte: “Cloud Computing Bible”, Sosinsky, 2011: 11
2.3.2. Modelos de Implementação
Os modelos de serviços podem ser implementados em diferentes modelos de Cloud.
São quatro os modelos reconhecidos:
16
2.3.2.1.
Public Cloud
Este modelo refere-se à disponibilização de serviços numa infraestrutura de
fornecedor, acedidos através da internet. O conceito de Público aqui aplicado não significa
uso gratuito, nem acesso publicamente visível dos dados que se encontram na Cloud. Os
fornecedores destes serviços implementam soluções baseadas na sua infraestrutura de
Cloud, a qual já incorpora mecanismos de segurança e de controlo.
2.3.2.2.
Private Cloud
Este modelo compreende uma infraestrutura privada e utilizada unicamente por uma
organização, não estando disponível publicamente para utilização generalizada. Em termos
de usabilidade para o utilizador, este modelo pouco difere do modelo público. As
diferenças residem na propriedade, na gestão e no controlo da infraestrutura que é interna a
uma Organização.
2.3.2.3.
Community Cloud
Este modelo refere-se a uma infraestrutura controlada e partilhada, em termos de
dados e aplicações, por um conjunto de Organizações com interesses comuns. Tais
interesses poderão residir, por exemplo, em requisitos específicos de segurança ou em
missões de âmbito comum.
2.3.2.4.
Hybrid Cloud
A composição de diferentes modelos de Cloud que interagem entre si denomina-se
Hybrid. Neste modelo os utilizadores são seletivos quanto à informação que disponibilizam
na Public Cloud, procurando normalmente manter os dados e o processamento da
informação crítica de negócio na sua Private Cloud, sob o seu controle.
2.4. Outros Conceitos relacionados com Cloud Computing
Conceitos que se relacionam com Cloud Computing e sobre os quais faremos uma
análise breve são: Virtualização, Grid Computing e SOA.
2.4.1.
Virtualização
Para Brenton (2012), a virtualização, na sua essência, é a habilidade de simular
hardware através de software.
17
Para Rhoton, (2010) a virtualização foi um dos maiores avanços na última década em
tecnologia de Datacenter. Existem, para este autor, várias formas de virtualização, entre as
quais:
− Network Virtualization, através de Virtual Local Area Network (VLAN) com o
objetivo de segmentar a rede e o tráfico;
− Virtual Private Networks (VPN) que cria uma ligação segura entre a empresa e os
utilizadores, as entidades da Cloud e até outros fornecedores de Cloud, permitindo
que as aplicações operem em modo seguro. Pode inclusive tratar o serviço em
Cloud como uma extensão da rede privada.
Segundo Rosenberg e Mateos (2011) a virtualização de servidores é a chave da
Cloud e o conceito de virtualização não é novo, era já usado nos anos 60 em mainframes
da IBM. A otimização dos recursos disponibilizados nos serviços em Cloud baseia-se na
virtualização. A criação de ambientes virtualizados ou máquinas virtuais significa
configurar uma camada de abstração ao hardware, dissimulando as suas características
físicas. As máquinas virtuais podem, por exemplo, ser usadas para emular diversos
sistemas operativos numa única plataforma computacional, alocando-se um hardware
virtual para cada sistema.
A virtualização também se relaciona com o conceito de Green IT, por ser uma
tecnologia que contribui para a sustentabilidade da empresa e da comunidade. Esta
tecnologia, através da otimização dos recursos físicos que lhe está inerente, contribui por
exemplo para reduzir a quantidade de resíduos EEE e desta forma minorar o impacto para
a envolvente ambiental. De acordo com a legislação em vigor (Decreto-Lei n.º 230/2004)
os computadores pessoais estão incluídos na lista de Resíduos EEE na categoria de
equipamentos informáticos e de telecomunicações, com reciclagem obrigatória. A
fabricação de equipamentos e componentes eletrónicos utiliza uma grande variedade de
materiais, alguns considerados perigosos. Quando chegam ao final da sua vida útil,
considerados obsoletos para utilização, estes equipamentos deverão seguir para reciclagem
devidamente acondicionados e transportados até ao ponto de recolha adequado mais
próximo.
Com a tecnologia de virtualização aplicada a computadores pessoais também se pode
obter simultaneamente economias de escala a nível energético. Um estudo realizado pelo
Instituto Fraunhofer (2008) refere que em termos energéticos os computadores tipo Thin
18
Client, requerem em média apenas metade da energia de um computador pessoal
convencional. Os equipamentos Thin Client são estações de trabalho independentes cuja
utilização é em tudo semelhante a um computador pessoal convencional mas cujo software
reside em servidor de Datacenter e não localmente no equipamento.
A IDC (2010) estima que, nos últimos seis anos e devido à virtualização, os clientes
gastaram menos $23,5 mil milhões em consumo energético de servidores. Refere ainda
assim que, o consumo total de energia diminuiu apesar do consumo por servidor ter
aumentado aproximadamente 20%, devido à necessidade de mais memória por servidor.
Realça que o aumento da mobilidade das máquinas virtuais implica o aumento da
capacidade dinâmica nos Datacenter. Migração de aplicações, recuperação de desastres e
balanceamento de cargas de trabalho são benefícios da mobilidade das máquinas virtuais.
Alerta ainda para as infraestruturas de Datacenter existentes que podem não ter estruturas
de energia e de arrefecimento adequadas para os novos ambientes virtualizados. Refere a
inexistência de indicadores físicos das cargas de trabalho sobre as máquinas virtuais que
estão em mobilidade no Datacenter, ao contrário do que acontece em ambientes
convencionais e relembra que quando uma máquina virtual passa dinamicamente para
outra localização do Datacenter, é necessário garantir o aumento da capacidade energética
e de arrefecimento desse bastidor.
Para Mamede (2011) a “transformação para virtual desktops constitui uma
progressão natural no próximo refresh tecnológico, para os utilizadores adequados”
referindo que são “os conceitos de infraestrutura utilizados para a virtualização de
servidores que irão sustentar a virtualização de desktop”.
A IDC (2011) acredita que ainda estamos nas fases iniciais de virtualização de
desktop mas é agora o grande momento para a organização avaliar e investir em soluções
que permitam uma melhor gestão dos utilizadores finais, independentemente de onde estão
ou o que eles usam. As Organizações que não o façam correm o risco de perder sua
vantagem competitiva no longo prazo.
2.4.2.
Grid Computing
Para Rhoton (2010) Grid Computing refere-se ao uso de muitos computadores
interconectados para resolver um problema através de computação altamente distribuída.
Grid Computing está muito relacionado com sistemas flexíveis e heterogéneos que
aproveitam recursos voluntários dispersos geograficamente.
19
Bote-Lorenzo et al (2004) referem que Grid Computing pode ser definido como uma
infraestrutura de software e hardware distribuída geograficamente em larga escala. Essa
infraestrutura é composta por recursos heterogéneos, detidos por uma organização ou
partilhada por várias, que pretende suportar uma ampla gama de aplicações. São referidos
como exemplos: computação intensiva de dados, computação distribuída, colaborativa e
multimédia.
Segundo Rhoton (2010) a utilização de Grid Computing esteve inicialmente muito
confinada a problemas científicos que careciam de elevado número de recursos
computacionais ou de acesso a volume de dados em larga escala. Atualmente a sua
utilização já se estendeu à indústria farmacêutica na descoberta de medicamentos, na
previsão económica, análises sísmicas e até de modelação financeira para o comércio,
incluindo gestão de riscos e variação de preços.
Rhoton (2010) refere existir uma similaridade conceptual entre o conceito de Grid e
de Cloud Computing: em ambos existe uma grande conexão de sistemas de computadores,
balanceando a carga de trabalho e tornando menos visível a separação entre a utilização e a
propriedade do sistema. Refere contudo ser importante clarificar a diferença: em Grid a
transparência para os seus utilizadores restringe-se a problemas de domínio, em Cloud os
serviços são tipicamente não transparentes, cobrem uma vasta gama de problemas
informacionais usando um modelo em que a funcionalidade está dissociada dos
utilizadores.
Para Myerson (2009) também existem muitas similitudes entre Grid e de Cloud
Computing. Grid Computing requer o uso de software, que possibilite dividir um sistema
em pedaços e distribuí-los em milhares de computadores, conectados entre si. Cloud
Computing baseia-se no conceito de Grid Computing para fornecer serviços como o de
aprovisionamento de dados em Datacenter.
2.4.3.
Service Oriented Architecture
Service Oriented Architecture (SOA) relaciona-se com o desenvolvimento de
sistemas de informação tendo na sua base arquiteturas orientadas a serviços (Web
Services). Podemos também dizer que se trata de uma metodologia de modelação e
desenho de software que permite reutilização de componentes de código (denominados
serviços) por diferentes aplicações, reduzindo tempo de desenvolvimento das aplicações.
Pode ser entendida como uma evolução da tradicional arquitetura orientada a objetos.
20
Segundo Rhoton (2010), a arquitetura orientada a serviços contrasta com as
aplicações monolíticas do passado. É uma abordagem que se baseia no mapa informacional
de uma empresa e o decompõe em funções primitivas e não associadas, chamadas serviços.
Esses serviços implementam ações simples e podem ser usados por muitas aplicações de
negócio diferentes. Refere que uma das grandes vantagens desta abordagem é a
maximização da reutilização de funções, reduzindo deste modo o esforço necessário para
construir novas aplicações ou alterar programas existentes.
Para Rhoton (2010) Cloud Computing pode ser um meio de implementar um projeto
SOA. Advoga que uma empresa que use a arquitetura orientada a serviços nas suas
aplicações está melhor posicionada para aderir ao Cloud Computing. Este autor advoga
também que muitas vezes o SOA é visto do lado tecnológico, conduzindo a
implementações distorcidas. Para que os benefícios do SOA sejam atingidos, as equipas de
negócio devem trabalhar ativamente com as equipas de Sistemas de Informação. Cada
unidade de negócio que projeta e pede uma aplicação deverá pensar que não é somente ela
a consumidora daquela informação e que a aplicação que está a pedir é ela própria
potencial fornecedora de informação a outras unidades de negócio. Desta forma a empresa
tornar-se-á mais ágil ao interligar-se mais rapidamente, mas também ao reutilizar e
reaproveitar esforços e investimentos já realizados.
Sosinsky (2011) refere que SOA é uma metodologia para aplicações distribuídas e
que os fabricantes de software têm vindo a utilizar, há mais de uma década, no
desenvolvimento de soluções para processos de negócio complexos. Para Sosinsky, Cloud
Computing não é consequência de SOA, complementam-se. Porquanto o SOA pode ser
usado para construir aplicações extensas e complexas que escalam horizontalmente e
verticalmente, aplicações em Cloud Computing tendem a escalar apenas verticalmente.
Segundo Sosinsky (2011) escalonamento horizontal refere-se a aplicações que
suportam um elevado número de processos de negócio diferentes e escalonamento vertical
refere-se a aplicações que suportam um número limitado de processos de negócio.
Habitualmente os fornecedores e os utilizadores dos serviços em Cloud não passam
mensagens diretamente, é a implementação de SOA no software de middleware que
permite que este desempenhe o papel de gestor transacional (broker) e tradutor. Este
middleware pode descobrir e listar, por um lado, os serviços disponíveis, por outro, os
potenciais utilizadores.
21
2.5. Segurança em Sistemas de Informação
De acordo com a norma internacional de segurança da International Organization for
Standardization (ISO), referida por Carneiro (2002), segurança é “a tentativa de minimizar
a vulnerabilidade de valores e recursos, entendendo-se neste domínio, por vulnerabilidade
o atributo de qualquer situação a partir da qual terceiros podem penetrar num SI
informatizado sem qualquer autorização no sentido de tirar proveito do seu conteúdo ou
das suas características, nomeadamente configuração e alcance”.
Segundo Carneiro (2002) há uma preocupação crescente dos gestores de topo e
responsáveis pelos SI das empresas para com as consequências de um acidente que
afetasse os SI no que concerne à confidencialidade, integridade e disponibilidade da
informação.
Para Silva, Carvalho e Torres (2003) o conceito de segurança na vertente de SI
engloba diversas disciplinas com o objetivo último de preservar a confidencialidade,
integridade e disponibilidade da informação utilizada nos sistemas de informação. Para
estes autores, algumas dessas disciplinas são: segurança de redes; segurança física;
segurança dos bens computacionais; segurança aplicacional; criptografia; gestão de
projetos; formação e conformidade. Os autores referem ainda que “a Administração da
empresa, bem como os agentes por esta nomeados, são os proprietários da informação
usada pela empresa” e “perante a sociedade, em matéria de segurança, a Administração
tem necessidade de mostrar ‘due diligence’, ou seja, de mostrar que fizeram o que é
considerado razoável pelo senso comum e no cumprimento da legalidade”.
2.5.1.
A Segurança no contexto da Cloud
A Cloud Computing apresenta um conjunto de desafios. O avanço tecnológico tem
na sua génese a busca pela eficiência, eficácia e produtividade, independentemente de
legislação ou políticas de segurança. O Cloud Computing está disponível para todos,
transcende o conceito de fronteira e de leis de cada país. No entanto, as leis e as normas
continuam a representar um dos melhores meios para protegermos e salvaguardarmos os
nossos direitos e interesses, tanto para entidades privadas como públicas.
A segurança e a privacidade são das maiores preocupações na implementação e
utilização do paradigma de serviços em Cloud Computing. Para Cardoso (2011) a
segurança está muito relacionada com confiança, na Cloud tem que se confiar plenamente
no fornecedor de serviços de Cloud. A escolha de um fornecedor reconhecido no mercado
22
dará uma maior garantia de continuidade. A adoção de um modelo em parceria permite a
partilha do risco, um maior comprometimento e garantia de fiabilidade por parte do
fornecedor.
Para Babcock (2010), a facilidade de partilha de recursos, que é inerente ao conceito
da Cloud, traz desafios na manutenção da segurança, na integração dos dados e de
transparência nas operações. Refere a imprevisibilidade de falhas de hardware, a falta de
SLA e de garantias de continuidade das operações.
O incidente de falha de energia num Datacenter da Amazon em 2009, numa zona da
Virgínia (EUA) é relatado por Babcock (2011), relevando a diferença essencial entre um
Datacenter tradicional e um Datacenter na Cloud: Enquanto tradicionalmente se arquiteta
um Datacenter para evitar falhas de hardware e toda a operação tem por base esse
pressuposto, na Cloud eles são construídos para saber gerir as falhas de hardware, através
de software. Num Datacenter na Cloud, em caso de falha de um servidor virtual, o
software transfere os dados e executa os demais processos, a partir do ponto onde parou,
num outro servidor virtual com configuração semelhante ao original, esteja ele onde
estiver, no mesmo local físico ou noutra qualquer parte do mundo.
Babcock (2011) aconselha os clientes a manter o sistema de recuperação e o sistema
primário em locais separados na Cloud e a não presumir que em Cloud Computing se opera
com todos os graus de proteção desejáveis para o seu negócio. Este autor alerta para a
impossibilidade de manter todo o Malware fora da Cloud, relatando o incidente a que
chamaram “Zeus botnet” sobre a utilização legítima de servidores da Cloud mas para fins
maliciosos: um ladrão profissional que conseguiu colocar um agente controlado
remotamente para acesso e furto de informações bancárias dos utilizadores.
Ainda sobre ataques maliciosos que podem substituir nomes, datas ou outra
informação importante existente nos sistemas, Babcock (2011) faz referência às
vulnerabilidades existentes no próprio código aplicacional, as quais se relacionam com as
competências do programador que o escreveu, permitindo ou não esses ataques.
No entanto, na opinião de Babcock (2011), o maior perigo para a segurança na Cloud
está no Hipervisor de virtualização, a importante peça de software por onde passam todas
as comunicações entre o sistema operativo das máquinas virtuais e o hardware físico.
Segundo Rosenberg e Mateos (2011), para superar muitos dos obstáculos de um
ambiente na Cloud há que recorrer às tecnologias de armazenamento encriptado, redes
23
locais virtuais e ferramentas standard de segurança em rede, como Firewalls e filtros de
pacotes dos dados, sugerindo que se encriptem os dados antes de os transferir para a Cloud.
Para Rosenberg e Mateos (2011) o tema segurança na Cloud relaciona-se com a
segurança física em Datacenter, com as medidas usadas para controlo dos acessos e com
as redes e segurança dos dados movimentados na Cloud.
Rosenberg e Mateos (2011) referem que a maioria dos fornecedores de serviços com
Datacenter em Cloud é já certificada em SAS 70 -Type II, uma exigência de conformidade
para com a lei Sarbanes-Oxley na perspetiva do controlo do serviço prestado.
Relativamente à segurança física dos dados, Rosenberg e Mateos (2011) defendem
que os dados na Cloud estão mais seguros do que na maioria dos Datacenter locais e
alegam que quando os dados estão centralizados é mais fácil monitorizar os acessos e a sua
utilização do que se estiverem dispersos nos Desktops e Laptops da Organização.
Quanto às medidas de controlo de acesso, Rosenberg e Mateos (2011) referem que
estas poderão passar por exemplo por processos de autenticação e verificação de identidade
usando uma base de dados completamente separada e out-of-band, isto é, num interface
Browser diferente do que foi usado para o sign-up.
Também o uso de credenciais de sign-in é aconselhado por Rosenberg e Mateos
(2011), as quais devem ser aplicadas cada vez que se acede a Web Services na Cloud. Cada
Application Programming Interface (API) chamada para executar requisitos na Cloud
deverá requerer uma chave de acesso encriptada.
Na opinião de Rosenberg e Mateos (2011), um dos métodos utilizados com mais
sucesso na Cloud tem sido a utilização de diferentes pares de chaves de autenticação para
cada acesso a serviços da Cloud. Estes autores advertem que, por vezes, o fornecedor de
Cloud pode oferecer-se para ser ele a gerar chaves de autenticação, mas este procedimento
não é seguro e deve ser rejeitado.
Segundo Rosenberg e Mateos (2011) existem múltiplos níveis de segurança nos
sistemas da Cloud: o Sistema Operativo (SO) do servidor físico; o SO da instância virtual;
a Firewall e os acessos por chamadas de API. As restrições ou permissões de tráfico
podem efetuar-se por protocolo, pela identificação da porta de serviço ou pelo endereço de
IP (Internet Protocol), individual ou de domínio.
Sosinsky (2011) recorda que a Internet foi primeiramente desenhada para ser robusta
e não necessariamente segura. Qualquer aplicação em ambiente distribuído encontra-se
24
numa superfície de maior vulnerabilidade a ataques do que uma aplicação restrita a uma
rede local – Local Area Network (LAN) e refere que Cloud Computing tem todas as
vulnerabilidades associadas às aplicações distribuídas na Internet, acrescida das
vulnerabilidades que resultam do uso de recursos partilhados, virtualizados e
externalizados.
Na opinião de Sosinsky (2011) os níveis de segurança diferem consoante o modelo e
o tipo de Cloud escolhidos. No que concerne ao armazenamento dos dados físicos na
Public Cloud, o problema reside no facto destes poderem estar alojados em qualquer parte
do mundo, vulneráveis a acessos não autorizados. Neste caso o conselho de Sosinsky
(2011) vai para a sua encriptação antes da transferência para a Cloud e para o uso de
mecanismos de gestão de identidades.
Domage (2011, referido por Nguyen, 2011) na conferência “Virtualisation and
Cloud Security” refere que as decisões no próximo ano ou daqui dois anos sobre a adoção
de Cloud vão girar em torno da Private Cloud, e que quanto maior a empresa, mais ela
deverá considerar a Private Cloud. A falta de privacidade na Public Cloud é uma questão
importante, referindo-se a incidentes de Hacking.
Na opinião de Richards (2012, referida por Computerworld, 2012) está a ser
analisada no Parlamento Europeu uma nova legislação de proteção de dados, como parte
da Estratégia Europeia de Cloud Computing. Segundo Richards (2012) a Cloud não
respeita fronteiras nacionais. Se estiverem garantidas as condições de segurança, a
localização física de dados confidenciais e pessoais não é importante em Cloud computing.
A Comissária Reding (2011) refere que a legislação de proteção de dados da União
Europeia tem mais de 15 anos de idade, que tem havido muita resistência ao longo do
tempo, mas que agora é fundamental modernizá-la para refletir o desafio digital da
globalização no seculo XXI. É importante, refere Reding (2011), manter um olhar
cuidadoso sobre a privacidade dos indivíduos e o direito à proteção dos seus dados
pessoais, com o centro de gravidade no mundo digital a mudar do desktop para a Cloud,
com processamento e armazenamento de dados em servidores remotos.
A comissão europeia (2012) refere que os rápidos desenvolvimentos tecnológicos
trouxeram novos desafios para a proteção de dados pessoais. É ainda referido que a
tecnologia vem transformar a economia e a vida social, permitindo que os indivíduos
25
exponham os seus dados pessoais a nível global e que os mesmos circulem de forma
transcontinental em organizações e autoridades públicas.
No sentido de simplificar a legislação existente na UE, a comissão europeia (2012)
vem propor reformas na legislação de proteção de dados, pretendendo fomentar confiança
no ambiente online, do qual beneficiarão os indivíduos e os negócios. A proposta baseia-se
em regras de proteção de dados, introduzidas pelo Tratado de Lisboa e foi apresentada em
duas propostas legais:
− Regulamentação do Parlamento Europeu e do Conselho Europeu na proteção dos
indivíduos no cumprimento do processamento de dados pessoais e na livre
circulação desses dados (General Data Protection Regulation);
− Diretiva do Parlamento Europeu e do Conselho Europeu na proteção dos
indivíduos no cumprimento do processamento de dados pessoais, com intervenção
das entidades competentes, com o propósito de prevenção, investigação, deteção
ou prossecução de processos criminais ou execução de sentenças e na liberdade de
circulação desses dados.
2.6. IT Governance
Weill e Ross (2004) desenvolveram dez princípios básicos para IT Governance, após
terem estudado e trabalhado com centenas de empresas:
− Desenhar um modelo de Governance ativo pois remendar os problemas que
surgem é uma tática defensiva que limita as oportunidades de impacto estratégico
das TI. Em vez disso deve ser desenvolvido um projeto de IT Governance em
torno dos objetivos da empresa e das metas de desempenho. Governance ativa
deve envolver os executivos de topo na liderança e alocação de recursos, na
atenção e apoio ao processo;
− Saber quando se deve redesenhar: Repensar toda a estrutura de Governance exige
que os indivíduos aprendam novos papéis e relacionamentos, numa mudança de
comportamentos desejável. E a aprendizagem leva tempo.
− Envolver outros gestores seniores: Os CIOs devem estar efetivamente envolvidos
na Governance de TI para se obter sucesso, mas referem que outros seniores
devem participar no processo, incluindo nas revisões e avaliações de desempenho;
26
− Fazer escolhas: Boa governação, como boa estratégia, requer escolhas. Não é
possível para o IT Governance atender a todos os objetivos das áreas de negócio,
mas podem e devem identificar objetivos conflituantes para debate. Empresas de
desempenho elevado lidam com conflitos de objetivos clarificando os princípios
básicos do negócio e o resultado é as TI adotarem esses princípios empresariais;
− Esclarecer o processo de tratamento de exceções: Em termos de TI, as exceções
desafiam o status quo, especialmente a arquitetura de TI e infraestrutura. Alguns
pedidos de exceções são frívolos, mas a maioria têm um verdadeiro desejo de
atender às necessidades de negócios. Se a exceção proposta por uma unidade de
negócio tem valor, uma mudança na arquitetura de TI pode beneficiar toda a
empresa;
− Fornecer os incentivos adequados: IT Governance é menos eficaz quando os
sistemas de incentivo e recompensa não estão alinhados com as metas
organizacionais. Se o IT Governance é destinado a incentivar a sinergia duma
unidade de negócios, a autonomia ou a combinação de ambos, os incentivos dos
executivos também devem ser alinhados;
− Atribuir a propriedade e a responsabilidade do IT Governance: Como qualquer
iniciativa importante da organização, o IT Governance deve ter um responsável. O
CEO deve delegar no CIO a responsabilidade pelo desempenho do IT
Governance, com medidas claras de sucesso;
− Alinhar o IT Governance aos diversos níveis organizacionais: Empresas com
funções separadas de TI em diferentes divisões, unidades de negócios ou
localizações geográficas exigem uma governança de TI alinhada e coordenada;
− Proporcionar transparência e formação: Quanto mais transparentes forem os
processos de IT Governance, maior confiança se deposita no CIO;
− Implementar mecanismos que fomentem uma gestão eficaz da cadeia de valor das
Tecnologias de Informação (Sinergia criada entre Produtos Finais, Clientes,
Recursos Humanos, Recursos Tecnológicos e Informacionais, Recursos
Ambientais e Recursos Financeiros).
Segundo Duffy (2011) IT Governance relaciona-se com a estruturação e gestão de
sistemas de informação, pessoas, tecnologia e controles, de forma eficiente e eficaz com
27
vista à concretização dos objetivos da organização, cumprindo todos os requisitos de
conformidade legal.
No aspeto da gestão dos riscos a que uma Organização está sujeita, Duffy (2011)
refere que 85% tem origem em fatores internos e apenas 15% se devem a fatores externos à
Organização. Para este autor, Cloud Computing permite transferir o risco para o fornecedor
de Cloud mas a responsabilidade de verificar se o prestador está habilitado a prestar o
serviço e se o faz nas melhores condições continua na organização.
Na opinião de Duffy (2011), os riscos com Cloud Computing devem ser analisados
no contexto da gestão do risco a nível empresarial tendo a COSO definido uma Framework
para uso das organizações, com sete categorias (System Development Life Cycle; Change
management; Logical security; Network security; Physical security; Data Backup
and Restore; System Availability and Monitoring) em quatro áreas: Estratégica;
Operacional; Reportes e Conformidade Legal. Para cada destas áreas as Comunicações e a
Informação são identificadas como as de maior risco e neste sentido o IT Governance
assume particular importância nas organizações.
Duffy (2011) aconselha a verificar por exemplo se o fornecedor de Cloud é auditado
com a SOC, já que esta auditoria garante que o fornecedor de serviços tem os
procedimentos adequados para proteger os seus dados.
Para Rosenberg e. Mateos (2011) deverá haver uma escolha criteriosa do fornecedor
de serviços em Cloud e identifica um conjunto de referenciais a analisar aquando da
decisão. No aspeto económico-financeiro analisar há quanto tempo o fornecedor está neste
mercado, se é uma empresa estável financeiramente, se é lucrativa, se tem capitais públicos
ou apenas privados. Na vertente operacional, procurar verificar os recursos ativos que
dispõe para suportar o serviço e onde se encontram localizados os Datacenters. Solicitar
também referências de outros clientes. No aspeto contratual procurar informação sobre se
as operações são auditadas e estão em conformidade com as boas práticas da norma SAS
70 Type II, questionar sobre os SLAs propostos e como se controlam.
Dos oradores da mesa redonda na 11ª CAPSI, evento que o autor assistiu, resume-se
um conjunto de considerações que devem ser observadas antes da decisão de se avançar
com a adoção de serviços em Cloud:
− Necessidade de inventariação de todas as aplicações e processos que vão ser
afetados, de modo a possibilitar a identificação dos benefícios e/ou riscos
28
associados, passando naturalmente pela identificação de situações de exceção a
este modelo;
− Estudo rigoroso do fornecedor de serviços de Cloud, tendo em conta que deverá
ser uma relação duradoura e que exige um elevado nível de confiança: controlo e
perda dos dados da organização, de quem é a responsabilidade?
− Avaliação da fiabilidade e capacidade da ligação à Internet que irá ser utilizada
para aceder aos serviços de Cloud, já que este modelo de funcionamento
pressupõe estar conectado à internet, em permanência;
− Gestão da mudança na organização.
Rosenberg e Mateos (2011) identificam quatro modelos mais comuns de gestão de TI
nas organizações:
− Gestão de TI efetuada pelos Recursos internos da organização;
− Housing: Quando a organização contrata e paga numa base anual, o espaço físico
em rack, conetividade, segurança e energia ao fornecedor, mas mantém o
hardware na sua responsabilidade;
− Serviços geridos (managed services): Quando se paga ao fornecedor o aluguer do
uso dedicado da infraestrutura de suporte, do hardware e software (pagamento
numa base mensal);
− Modelo de serviços em Cloud: semelhante ao modelo “managed services”, mas
no qual o fornecedor disponibiliza recursos virtualizados que são dinamicamente
utilizados por diferentes clientes (em detrimento da utilização dedicada de um só
cliente).
O conceito de Cloud Computing parece vir impulsionar uma mudança nos modelos
de gestão de SI/TI, através da capacidade de disponibilizar e ajustar, a qualquer momento e
de forma eficiente, os recursos de TI às necessidades dos clientes num dado momento.
Greer (2012) releva a importância da definição de Cloud SLAs para a gestão de
expectativas de serviço entre fornecedores e clientes (Organizações). Este autor definiu dez
tópicos que as Organizações devem atender:
− Compreender os papéis e as responsabilidades entre os intervenientes;
− Avaliar o nível de políticas oferecidas (por exemplo: privacidade, localização e
preservação de dados, uso, pagamento e penalidades, garantias, renovações e
processo de transição para outro fornecedor);
29
− Compreender as diferenças entre os modelos de implementação de serviços
(SaaS/PaaS e IaaS) e como o fornecedor endereça as questões de gestão do risco;
− Identificar os objetivos de performance críticos para a Organização;
− Avaliar os requisitos de segurança oferecidos;
− Identificar os requisitos de gestão do serviço, nomeadamente: Auditing,
Monitoring & Reporting, Metering (suporte à faturação dos diferentes serviços,
localizações e taxas diferenciadas), Rapid Provisioning e Service Upgrades;
− Preparar plano de contingência para gestão de falhas de serviço;
− Compreender o plano de recuperação de desastres: SaaS; PaaS e IaaS têm riscos e
soluções diferentes, apurar se o fornecedor assegura mitigação de perdas;
− Definir um processo efetivo de gestão: escalonamento de problemas, reportes e
análise periódica de serviço prestado;
− Compreender o processo de descontinuidade de serviço: deve ser elaborado plano
com procedimentos detalhados que garanta continuidade de negócio; exigência de
confirmação escrita sobre a transferência, preservação ou eliminação dos dados da
Organização.
Sosinsky (2011) refere que, no acordo de níveis de serviço - Service Level Agreement
(SLA), devem definir-se o tipo e o nível de segurança pretendido, assim como estabelecer
a fronteira de responsabilidades em matéria de segurança. Outros serviços devem ainda ser
planeados e negociados com o fornecedor de serviços da Cloud para auditoria e verificação
de conformidade legal, tais como: registos dos acessos, erros e quebras de segurança no
sistema.
Hogben e Dekker (2012) publicaram um guia prático para apoiar organizações a
monitorizarem os contratos de Cloud Computing e a identificar os indicadores e métodos
que garantam transparência na entrega do serviço.
2.7. Grupos Internacionais e Projetos Europeus relacionados com Cloud
Diversas entidades com diferentes interesses e abordagens nesta temática têm-se
agrupado com vista a acelerar a adoção generalizada do conceito de Cloud Computing. O
foco de cada grupo varia consoante a especialidade dos seus membros: desde a fiabilidade
e robustez das infraestruturas, segurança dos dados (física e lógica), definição de boas
práticas e standards da indústria, legislação aplicável, entre outros.
30
A Comissão Europeia também apoia ativamente projetos que promovem o
desenvolvimento deste conceito e procuram fomentar a confiança na sua utilização. O
Projeto TClouds é um exemplo, que conta com a participação de empresas portuguesas.
2.7.1.
EuroCloud group
EuroCloud é uma organização de cariz independente, sem fins lucrativos com uma
configuração em dupla camada (central e local), onde todos os países europeus podem
fazer parte conquanto respeitem os seus estatutos. Num período de tempo inferior a dois
anos, 27 países europeus juntaram-se ao EuroCloud sendo que, 17 deles têm já
formalmente estabelecida uma EuroCloud local, são eles: Portugal, Espanha, França,
Reino Unido, Bélgica, Luxemburgo, Holanda, Alemanha, Dinamarca, Suécia, Finlândia,
Áustria, Suíça, Eslovénia, Itália, Irlanda e Hungria.
Como missão esta organização pretende:
− Tornar conhecido o conceito de Cloud Computing em toda a sociedade e ter um
papel ativo na conceção de processos e Standards da indústria de Cloud;
− Construir uma rede de contactos e de conhecimento para entidades com interesses
em Cloud Computing, fornecedores e/ou facilitadores;
− Construir forte relacionamento com as autoridades europeias, comissão europeia e
parlamento
europeu,
promovendo
um
ambiente
estimulante
para
o
desenvolvimento da indústria de Cloud;
− Posicionar os interesses da indústria de Cloud junto das associações de
tecnologias de informação existentes, tais como SNIA (Storage Networking
Industry Association), BSA (Business software Alliance) ou SIIA (software and
Information Industry Association).
2.7.2.
Cloud Security Alliance
A Cloud Security Alliance (CSA) é uma organização cujos membros são entidades
que atuam em diferentes vertentes de especialização. Privilegiam a utilização das melhores
práticas comuns no sentido de garantir a segurança em Cloud Computing e a educação na
utilização de Cloud Computing, ajudando a proteger todas as outras formas de computação.
Listamos alguns dos seus membros: AmazonWebServices (AWS); Accenture;
AT&T; CA; eBay; Dell; Deloitte; Ernest&Young; Fiberlink; Google; Hitachi; HP; Intel;
31
Layer7; McAfee; Microsoft; Novell; Oracle; PwC; Salesforce; RSA; SafeNet;
SecureWorks; Siemens; VeriSign e VMware.
2.7.3.
Cloud Computing Use Case group
O grupo Cloud Computing Use Cases tem o propósito de juntar consumidores e
fornecedores de serviços em Cloud para definir cenários de utilização comum em Cloud
Computing. De acordo com os membros deste grupo estes cenários pretendem demonstrar
os benefícios económicos e de performance da utilização em Cloud Computing baseandose nas necessidades de um grande número de consumidores.
Este grupo promove discussões colaborativas e elabora white papers. O paper
Versão4 foca quatro áreas: Como os consumidores usam a Cloud; Como as aplicações são
construídas na Cloud; Segurança na Cloud e Acordos de Níveis de Serviço.
2.7.4.
Open Cloud Consorcium
O Open Cloud Consortium (OCC) é um consórcio sem fins lucrativos gerido pelo
Center for Computational Science Research, Inc. Operacionalmente está organizado em
diferentes grupos de trabalho e são responsáveis pela gestão e operação de diferentes
infraestruturas de Cloud Computing em modelo comunitário, de suporte a projetos de
pesquisa nas áreas científicas, de ambiente, e cuidados de saúde.
Os seus membros incluem grupos de investigadores de Universidades e organizações
que podem beneficiar de Cloud Computing, programadores e fornecedores de produtos,
serviços e infraestruturas de Cloud Computing: Aerospace Corporation; Booz Allen
Hamilton; Citrix; Cisco; Infoblox; Open Data Group; Raytheon; SIOS; Yahoo!; Calit2
(UCSD); Johns Hopkins University; StarLight (Northwestern University); University of
Chicago; University of Illinois; Lawrence Livermore National Laboratory; NASA; Oak
Ridge National Laboratory e AIST, Japan.
2.7.5.
Cloud Standards Customer Council
O Cloud Standards Customer Council (CSCC) é constituído por um grupo de
advogados que pretendem influenciar o processo de desenvolvimento de standards e
acelerar o sucesso da adoção de Cloud. Dizem que o conceito de Cloud Computing é
percebido como estando mais relacionado com a produtividade e integração das TI do que
com a agilização do negócio.
32
Procuram apoiar os clientes junto das suas organizações, disponibilizando
documentação sobre boas práticas, casos de estudo e roadmaps padrões. O seu foco incide
nas questões de interoperacionalidade que rodeiam a transição para Cloud, na gestão em
Cloud, nas arquiteturas de referência, nas Clouds híbridas, na segurança e na
conformidade.
Os membros fundadores incluem organizações como a IBM, Kaavo, Rackspace e
Software AG.
2.7.6.
Projeto TClouds
Trustworthy Clouds (TClouds) é um projeto cofinanciado pela comissão europeia
que procura desenvolver a segurança de Cloud Computing, colocando o foco na proteção
da privacidade em infraestruturas transfronteiriças e na garantia de resistência a falhas e
ataques.
Este projeto tem como missão dois cenários:
1 Desenvolver uma infraestrutura avançada de Cloud que permita computação e
armazenamento com novos níveis de segurança, privacidade e robustez, simples
usabilidade, escalável e com custos sustentáveis;
2 Alterar a perceção da Cloud Computing por demonstração em protótipo de
infraestrutura para aplicação em áreas socialmente significativas como a energia e
os cuidados de saúde.
Envolvidas neste projeto estão as entidades: Tecnikon; IBM; Philips; Sirrix;
Faculdade de Ciências da Universidade de Lisboa; ULD; University of Oxford; Politécnico
de Torino; Friedrich-Alexander-Universität Erlangen-Nuernberg; Fondazione Centro San
Raffaele Del Monte Tabor; EDP; Maastricht University; Efacec e Technische Universität
Darmstadt.
Realçamos o cenário dois, que se relaciona com Portugal e envolve um sistema
inteligente de energia em rede, com a EDP e a EFACEC. Neste projeto os cientistas
pretendem mostrar como tais sistemas críticos de preservação de energia podem migrar
para uma infraestrutura em Cloud, aumentando a sua robustez, com privacidade e proteção
contra hackers e a falhas de hardware.
33
3. Caracterização da Organização
Neste capítulo procedemos à descrição da Organização no contexto definido para
esta dissertação. A informação institucional foi recolhida a partir do relatório de
sustentabilidade e do relatório e contas da empresa de 2011.
3.1. Morada e Localização
A ANA tem a sua Sede na Rua D do Aeroporto de Lisboa (na Portela) e sob sua
responsabilidade está a gestão de quatro aeroportos em Portugal Continental (Lisboa;
Porto; Faro e, recentemente, Beja) e de quatro na Região Autónoma dos Açores, nas ilhas
de São Miguel, Faial, Santa Maria e Flores.
Figura 2: Locais onde a ANA, Aeroportos de Portugal, S.A. exerce atividade.
Fonte: Relatório de Sustentabilidade, página oficial da ANA, 2011
A ANA é detida pelo Estado Português através da Direção-Geral do Tesouro e
Finanças (31,44%) e da holding estatal Parpública (68,56%).
Tem como objeto principal a exploração, em regime de concessão, do serviço
público aeroportuário de apoio à aviação civil, em Portugal. Acessoriamente explora
atividades e realiza operações comerciais e financeiras relacionadas com o objetivo
principal (Decreto-Lei n.º 404/98, de 18 de Dezembro).
34
A ANA detém uma participação de 70% na ANAM, empresa que gere os aeroportos
da Madeira e Porto Santo na Região Autónoma da Madeira, uma participação de 100% na
Portway, a sua filial de handling (assistência em escala a aeronaves), e de 84,41% na
NAER, empresa criada com o objetivo de desenvolver o projeto do Novo Aeroporto de
Lisboa. De acordo com o previsto no Plano Estratégico dos Transportes (PET), aprovado
pela Resolução do Conselho de Ministros n.º 45/2011, o projeto do Novo Aeroporto de
Lisboa foi formalmente suspenso.
Em 2011, pelos aeroportos geridos pelo Grupo ANA, passaram mais de 30 milhões
de passageiros, mais de 285 mil aeronaves e 143 mil toneladas de carga. Estes fatores
proporcionaram 424,9 milhões de euros de volume de negócios e 76,5 milhões de euros de
resultado líquido.
3.2. Missão
A ANA - Aeroportos de Portugal, SA tem como missão gerir de forma eficiente as
infraestruturas aeroportuárias a seu cargo, ligando Portugal ao mundo, e contribuir para o
desenvolvimento económico, social e cultural das regiões em que se insere. É ainda objeto
da sua missão, oferecer aos seus clientes um serviço de elevada qualidade, criando valor
para os acionistas e assegurando elevados níveis de qualificação profissional e motivação
dos seus colaboradores.
3.3. Visão
A visão da ANA - Aeroportos de Portugal, SA é posicionar-se como gestor
aeroportuário de reconhecida competência, assegurando um desempenho fundado na
confiança dos parceiros e clientes e orientado para a rendibilidade e sustentabilidade.
3.4. Princípios
A ANA tem como princípios: Criar Valor; Satisfazer os Clientes; Apostar nos
Colaboradores; Proteger o Ambiente e Envolver a Comunidade.
3.5. Valores
Os Valores adotados pela ANA - Aeroportos de Portugal, SA relacionam-se com a
dedicação ao cliente, responsabilidade, espírito competitivo e inovador, trabalho em
equipa, desenvolvimento dos colaboradores e orientação para os resultados.
35
3.6. Organograma
A figura 3 mostra a Estrutura Organizacional, que é composta por oito Unidades de
Negócio, cinco Unidades de Serviço e doze Unidades do Centro Corporativo.
Figura 3: Organograma da ANA, Aeroportos de Portugal, S.A.
Fonte: Página oficial da ANA na internet, 2011
A Direção de Sistemas e Tecnologias de Informação e Comunicação (DSTIC) é uma
Unidade que presta serviços de âmbito tecnológico internamente a todo o grupo ANA e
externamente aos Stakeholders que se situam no perímetro dos aeroportos de Lisboa e
Porto. Tem a missão de promover a utilização racional dos Sistemas, Tecnologias de
Informação e Comunicação na ANA, de modo a tornar mais eficientes e inovadores os
processos de negócio, assegurando a prestação de serviços de elevada qualidade e
fiabilidade, tanto interna como externamente aos diferentes parceiros.
3.7. Recursos Humanos
A ANA terminou 2011 com 1.107 colaboradores ao sue serviço, distribuídos
geograficamente pelos locais onde esta exerce a sua atividade, concentrando-se 59% em
36
Lisboa. A organização tem apostado na formação contínua dos seus quadros, atingindo em
2011 uma média de 45,9 horas de formação por colaborador.
Nos quadros da DSTIC encontram-se 35 colaboradores, com uma média de idades a
rondar os 45 anos. Aproximadamente metade deles concluiu o ensino superior e dos
restantes alguns ainda o frequentam ou frequentaram.
3.8. Sistemas de Informação/Tecnologias de Informação
Neste subcapítulo procura-se fornecer uma perspetiva sucinta do ambiente
empresarial interno ao nível das TIC, no sentido de identificar onde o conceito de Cloud
Computing poderá potencialmente contribuir para redução de custos na organização.
3.8.1.
Sistemas de Informação
No que concerne aos Sistemas de Informação a estratégia seguida tem sido o
desenvolvimento de sistemas de uso corporativo em detrimento de sistemas locais, os quais
serviam apenas algumas unidades de negócio. Esta estratégia tem permitido uma maior
uniformização de processos, de tecnologias e de integração entre os sistemas da
organização,
O sistema SAP é o ERP da organização. Podemos enumerar, de modo não exaustivo,
alguns dos módulos existentes: Financeiro, de Tesouraria, de Orçamentação, de
Imobilizado, Faturação de Espaços, Gestão Documental, Gestão de Materiais, Gestão de
Investimentos, Gestão de Projetos, Gestão de Recursos Humanos, Processamento de
Salários, Business Intelligence e Portal do Colaborador na intranet, com workflow de
suporte às justificações de ausência, férias, entre outras.
A especificidade do setor de atividade onde a organização se insere tem exigências
próprias a nível da informação de tráfego que disponibiliza aos Stakeholders: autoridades,
agentes de handling, companhias áreas e concessionários. Esta informação reside num
sistema “Broker” que congrega informação de vários sistemas operacionais e é
disponibilizada de acordo com a necessidade de cada entidade interessada, através de
webservices, correio eletrónico, SMS ou FTP.
Existem vários sistemas operacionais, isto é, de suporte à operação num aeroporto.
Podemos mencionar alguns: Sistema de coordenação de “slots” (faixas horárias disponíveis
nos aeroportos), o qual serve de base à negociação com as companhias aéreas que
pretendem operar num dado aeroporto; Sistema de planeamento e gestão das
37
infraestruturas aeroportuárias (check-in, portas de embarque, Stands de parqueamento de
aeronaves, entre outras); Sistema visual de informação de voos; Sistema de guiamento e
parqueamento de aeronaves; Sistema de gestão da manutenção (preventiva e corretiva) das
infraestruturas aeroportuárias; Sistema de controlo de acessos às zonas não públicas do
Aeroporto e Sistemas de tratamento de bagagens.
O “Core Business” da organização é a gestão de infraestruturas aeroportuárias de
suporte ao tráfego de aeronaves, passageiros e carga. Os sistemas operacionais, pela
informação crítica que contêm, revestem-se de importância vital para a organização.
Assim, estes sistemas foram propositadamente excluídos, desde o início, da análise de
viabilidade de serviços em Cloud.
3.8.2.
Ambientes de Trabalho
Todos os colaboradores têm necessidade de aceder aos sistemas de informação da
organização. São atribuídos Desktops a funções administrativas que necessitam
diariamente de utilizar computadores pessoais mas não necessitam mobilidade e Laptops
para as restantes. Para as funções com necessidade de acesso ocasional existem
computadores instalados em posições fixas, a funcionar em modo de quiosque. Nas
funções em regime de turnos, a utilização do computador desktop é partilhada.
A empresa tem seguido a regra de substituição de computadores pessoais, a cada 4
anos. A tipologia de distribuição aos colaboradores da empresa tem seguido as orientações
dos responsáveis das diferentes áreas da empresa, no sentido de responder às necessidades
das funções que aqueles desempenham dentro da organização.
O suporte em Front Office aos utilizadores com computador no ambiente de trabalho
é efetuado por técnicos em regime de prestação de serviços. O suporte em Back Office
(administração e suporte a sistemas, redes de comunicação, entre outras funções) é
efetuado por equipas técnicas mistas, com elementos externos e internos, mas sempre com
coordenação destes.
Na componente tecnológica, os computadores pessoais da organização utilizam
sistemas operativos e aplicações de Office licenciados à Microsoft, em contrato abrangente
de âmbito empresarial.
Os ambientes de trabalho da Organização comunicam entre si internamente através
das infraestruturas de rede local: Local Area Network (LAN), por cabo fixo (Wired) e sem
fios (Wireless), utilizada pelos Laptops. A comunicação com o exterior encontra-se
38
protegida com Firewalls e na comunicação das diferentes redes internas estão,
naturalmente, os equipamentos de Switches e Routers. As entidades externas podem
utilizar a rede interna através de Virtual Local Area Network (VLAN) configurada
especificamente para o efeito. Os equipamentos Laptops estão configurados para acesso à
organização pelo exterior, em qualquer local com ligação internet, através da infraestrutura
de Virtual Private Network (VPN). Entre aeroportos utiliza-se a infraestrutura de WideArea Network (WAN) suportada por operadores de telecomunicações. As larguras de
banda contratadas diferem entre os aeroportos, de acordo com as necessidades específicas
de cada um. A organização dispõe de dois Datacenter certificados por entidades
internacionais competentes, que funcionam como infraestrutura redundante para os
sistemas críticos. Também dispõe de um Desaster Recovery Plan (DRP) integrado no
plano de continuidade de negócio da organização. Este DRP consubstancia-se na utilização
de infraestrutura tecnológica redundante noutros locais geograficamente dispersos,
adequada a manter operacional, embora em modo de contingência, os sistemas críticos da
organização em situações de catástrofe.
39
4. Análise de soluções de Cloud
De acordo com Rosenberg e Mateos (2011), o modelo de serviços em Cloud, com o
pagamento de subscrição baseada na utilização, vem colocar em igualdade de
circunstâncias os novos empreendedores e organizações de maiores dimensões, ao quebrar
a barreira económica da necessidade de investimento inicial em recursos computacionais e
ao libertá-las dos compromissos sobre os custos fixos em contratos anuais de
licenciamento, de manutenção e de suporte.
Para organizações como a ANA, aeroportos, que têm uma dimensão relevante,
importa considerar os elevados investimentos em infraestruturas TIC efetuado ao longo do
tempo. Outro aspeto a ponderar prende-se com o acesso aos sistemas da organização, que
já é efetuado numa ligação robusta e segura, num modelo de funcionamento que se poderá
caracterizar próximo do definido como Private Cloud. A diversidade e número
significativo de sistemas operacionais e específicos do negócio, que interessa preservar inhouse, é mais um aspeto relevante a considerar.
Foi constituído um grupo de trabalho restrito, do qual o autor fez parte, e que
procurou identificar tendências de mercado relacionadas com o posto de trabalho, que
eventualmente pudessem servir a estratégia da organização.
Entre outros conceitos, analisámos o conceito de Cloud Computing para:
•
Virtualização de Desktops;
•
Serviço de Gestão e Armazenamento de Correio Eletrónico, em Cloud.
4.1. Virtualização de Desktops
O computador pessoal é utilizado na organização para suportar as mais variadas
funções e tarefas associadas. Os computadores tipo Desktop encontram-se em maior
número, numa proporção próxima de 3 desktops para 1 laptop, e são adequados a funções
que não necessitam de mobilidade.
Considerando que a organização dispõe de infraestrutura de Datacenter e que se
desconhece a existência de informação reservada nos ambientes de trabalho dos
colaboradores, pareceu-nos interessante que este trabalho direcionasse a análise ao
conceito de Virtualização de ambientes de trabalho em servidores da organização, em
detrimento de serviços disponibilizados por fornecedores em Public Cloud.
40
Segundo a Forrester (2011) não existe uma solução universal que se aplique a todos
os colaboradores e a todos os tipos de funções. Esta consultora refere ainda que será
necessário a combinação de tecnologias e soluções para entregar um ambiente
computacional estimulante para os colaboradores de hoje, cada vez mais distribuídos e
móveis.
4.1.1.
O conceito e sua abrangência
Segundo a Consultora Forrester (2011), a indústria tem utilizado “Virtual Desktop
Infrastructure” (VDI) quando se refere a qualquer das formas de Client Virtualization.
Considera, no entanto, que existem pelo menos cinco formas de virtualização em desktop:
− Hosted desktop virtualization: a forma mais conhecida de VDI, na qual o
ambiente de desktop é executado diretamente em instâncias virtuais de servidores
em Datacenter e não diretamente no desktop ou laptop;
− Local desktop virtualisation: neste formato o ambiente de desktop é virtualizado e
executado localmente na máquina Client. Este ambiente virtual é gerido com as
mesmas políticas definidas para o ambiente físico. Como detém todos os atributos
de um ficheiro pode o ambiente ser integralmente encriptado e salvaguardado
centralmente, facilitando processos de business continuity.
− Aplicações virtualizadas: Estas aplicações reservam os recursos de largura de
banda e de servidor que necessitam dispor, podendo usar temporariamente a cache
local.
− Bare metal hypervisors ou type-1 client hypervisors: Continuam em debate se faz
ou não sentido este modelo para grandes negócios, se vêm trazer mais
dificuldades do que soluções.
− Desktop as a Service (DaaS) ou cloud-hosted virtual desktops: Serviço de entrega
e gestão de desktop centralizado e partilhado num Datacenter de fornecedor. A
segurança dos dados é a principal dificuldade dos gestores de TI, na justificação
de utilização de desktop neste formato.
Para Moody (2011) existem três modelos tecnicamente muito idênticos por estarem
suportados nos sistemas operativos Windows 7 ou Windows Server 2008 R2 e terem o
mesmo código base e as mesmas API:
41
− Terminal Services: Remote Desktop Services (RDS), Hosted Shared Desktop e
Session-based Virtualization;
− Hosted VDI;
− Desktop as a Service.
O conceito de Desktop as a Service está a surgir como um serviço fornecido em
Cloud Computing e Moody (2011) propõe como definição que Desktop as a Service seja
um modelo de entrega de desktop que utiliza variadas tecnologias de virtualização de modo
a disponibilizar ao utilizador o armazenamento, a gestão e a integração de aplicações em
desktops, em ambiente de Datacenter seguro, versátil e partilhado.
Segundo Song (2011), a adoção de tecnologias de virtualização de desktops tem
surgido nas organizações que implementaram com sucesso a virtualização de servidores.
Para este analista da IDC, as organizações colhem benefícios ao nível da melhoria na
eficiência da gestão de IT, nos custos e na capacidade, com o uso da virtualização em
ambientes de trabalho desktop. A maximização da utilização dos recursos de servidor, em
detrimento dos recursos dos computadores pessoais, permite que os benefícios se traduzam
na extensão do tempo de vida útil dos computadores pessoais já existentes, ou na adoção
de dispositivos Thin Client.
Song (2011) também advoga que a gestão simplificada, permitida pelas aplicações de
gestão centralizada, traz mais eficiência às equipas de suporte e redução dos problemas dos
utilizadores. A facilidade de acesso ao ambiente de trabalho a partir de qualquer lugar e de
qualquer dispositivo da organização, aliada à redução de problemas, aumenta o grau de
satisfação e confiança dos utilizadores.
No plano da segurança, Song (2011) defende que, ao movermos os dados dos
desktops para os servidores em Datacenter, através de backups centralizados, se reduz os
riscos de segurança para a organização e se simplifica a recuperação em caso de desastres.
Song (2011) refere ser importante que, quando se proceda à comparação com o modelo
tradicional, o acréscimo de custos em hardware e software que se verifica para
operacionalizar uma solução de virtualização de desktops seja analisado, conjuntamente,
com todos os benefícios obtidos.
Para Ben-Shaul (2011) a abordagem em Virtual Desktop Infraestruture (VDI)
funciona muito bem para ambientes com dispositivos Thin Client, que utilizam protocolos
de desktop remoto e se encontram sempre ligados à rede local. Não é ideal para aqueles
42
ambientes que necessitam trabalhar Offline, por ligação distribuída sobre WAN ou que
trabalhem com aplicações multimédia através de dispositivos móveis.
Ben-Shaul (2011) refere que novas soluções híbridas de virtualização de desktops
estão a emergir, combinando a centralização e gestão Virtual de Desktop baseada em
servidor com a flexibilidade de trabalhar Offline num Laptop totalmente personalizado.
Refere ainda que, neste formato híbrido, o utilizador poderá ter disponível uma área
distinta e flexível (instância pessoal dissociada do ambiente de trabalho corporativo),
permitindo trabalhar Offline, instalar e trabalhar facilmente com aplicações multimédia de
vídeo e áudio. Nas situações de atualizações tecnológicas centralizadas, como se verifica
uma segregação de instâncias, as configurações do utilizador, os seus dados e aplicações
mantêm-se inalterados.
4.1.2.
Principais Fornecedores
Segundo o estudo da analista IDC (2011) a Citrix e a VMware são os fornecedores
líderes de mercado de virtualização de desktops, de entre 12 fornecedores: “Microsoft,
VMware, Citrix, Quest software, and Red Hat, MokaFive, Virtual Bridges, Virtual
Computer, Kaviza, Desktone, Wanova, and Unidesk”.
A figura 4 mostra o referido estudo. Em destaque está a Citrix como líder de
mercado seguido de muito perto pela VMware. Com maior distância está a Quest software
e a Microsoft, todos os outros têm uma implantação no mercado praticamente inexpressiva.
Figura 4: Mercado de fornecedores de soluções de Virtualização de Desktops
Fonte: “Marketscape Desktop Virtualization Vendor Assessment”, IDC, 2011
43
4.1.2.1.
Algumas Soluções de Virtualização de Desktops
As informações sobre soluções de Virtualização de desktops foram obtidas
diretamente dos sites oficiais dos respetivos fornecedores.
VDI-in-a-box (Hosted-virtual-desktop) da Citrix é uma solução integrada de VDI e
aplicativos que permite aos administradores de Windows a disponibilização rápida de
desktops virtuais geridas centralmente na organização.
XenClient da Citrix é uma solução de virtualização de desktop local mas para
utilizadores com mobilidade, que permite trabalhar em qualquer lugar e em qualquer
altura, incluindo Offline. Esta flexibilidade é complementada e simplificada com as
ferramentas de gestão de desktops virtuais.
XenDesktop da Citrix é uma solução de virtualização de desktops que transforma o
Windows Desktop num modelo de entrega por serviço. A sua utilização estende-se a
tablets, smartphones, laptops ou thin clients.
CSC Dynamic Desktop é referida como sendo uma solução integrada e flexível de
virtualização de desktop desenvolvida em parceria com os líderes de mercado: Citrix,
Cisco, NetApp e Microsoft.
4.1.3.
Análise de Viabilidade
A adoção da tecnologia de virtualização de ambiente de trabalho faz sentido como
sendo mais um passo que permite flexibilizar o modo de trabalhar dos colaboradores nas
organizações, numa era cada vez mais móvel e dinâmica.
Como primeiro passo num tema ainda imaturo pensamos que deva ser efetuado um
protótipo, de aplicação restrita mas a um universo heterogéneo, onde o impacto fosse
controlado. Para as funções que exigem mobilidade a organização já disponibiliza aos
colaboradores equipamento e tecnologia que permite essa flexibilização laboral,
possibilitando o acesso à organização a partir de qualquer lugar com ligação à internet.
Agora o foco volta-se para a flexibilização nos ambientes desktop, utilizados em funções
administrativas. Estimou-se para esta análise aplicabilidade em 30% de colaboradores.
Com a tecnologia de virtualização de ambientes desktops em servidor e respetiva
gestão centralizada, tarefas de atualização de software que atualmente necessitam de
intervenção nos diferentes equipamentos, passam a ser efetuadas num só ponto, o servidor.
Também o facto de transferir para o servidor o workload que exige recursos
44
computacionais vai permitir o prolongamento da vida útil dos computadores desktops
existentes e tornar o processo de disponibilização de novos postos de trabalho mais rápido
e menos complexo. As situações de inoperacionalidade do equipamento passam a ser
facilmente ultrapassadas com a sua substituição por outro equipamento que se encontre de
reserva, enquanto a avaria é reparada, diminuindo o período de interrupção laboral.
Para os modelos híbridos de virtualização de desktops que possibilitam trabalhar
offline, neste momento, não se encontram vantagens para a organização.
4.1.3.1.
Vantagens
Elencamos um conjunto de vantagens que a tecnologia de virtualização aplicada aos
Desktops poderá trazer à organização:
− Redução de custos de capital com equipamentos Client (Desktops), ao quebrar o
ciclo periódico de renovações de desktops. Com os recursos computacionais do servidor a
suportar as necessidades das aplicações, a vida útil destes equipamentos terminais estendese muito para além dos três ou quatro anos atuais;
− Redução do tempo de configuração e disponibilização de novos postos de
trabalho;
− Redução do tempo de inoperacionalidade do ambiente de trabalho, com as
atualizações de versões de software que passa a estar centralizado em servidor;
− Redução da probabilidade de falhas do equipamento Desktop, traduzindo-se em
maior satisfação dos colaboradores;
− Aumento da segurança dos dados, que passam a estar residentes em servidor e não
localmente em cada máquina;
− Possibilidade de acesso ao ambiente de trabalho a partir de outro equipamento
qualquer que esteja configurado na rede da organização, em qualquer área
geográfica onde esta exerce atividade.
− Redução do consumo de energia, que apenas se verifica aquando da substituição
dos desktops existentes por novos equipamentos Thin Client;
4.1.3.2.
Condicionantes
Identificamos um conjunto de condicionantes à adoção da tecnologia de virtualização
aplicada aos Desktops:
− Acréscimo de custos de capital para reforço de plataformas servidoras;
45
− Acréscimo
de
custos
com
licenciamento
específico
para
colocar
em
funcionamento a tecnologia de virtualização, quer na componente servidora quer
no equipamento Desktop;
− Acréscimo de custos com aquisição de software para gestão centralizada dos
ambientes virtuais em servidor;
− Formação técnica na equipa de BackOffice;
− Transferência de carga de trabalho da equipa de FrontOffice para a equipa de
BackOffice (gestão centralizada), pelo menos numa fase inicial.
4.1.3.3.
Exequibilidade
A análise efetuada restringe-se a um modelo básico de virtualização de desktops em
servidor, no qual é configurada uma área reservada com o perfil pessoal de cada
colaborador e partilhados os restantes recursos computacionais do servidor. Este modelo
deverá possibilitar o acesso ao ambiente de trabalho dos colaboradores, a partir de um
qualquer computador disponível no interior da organização.
Na componente técnica, as equipas necessitam de formação específica para assimilar
conhecimentos e cimentar competências nesta matéria. Só assim podem responder
adequadamente a este desafio. Dada a inexperiência dos recursos da organização, poderá
vir a ser necessário apoio de consultoria especializada para apoiar na implementação deste
conceito.
Na vertente económica foi efetuada uma estimativa provisória, tendo sido
considerados os componentes: hardware desktop e servidores, software, consumo
energético, manutenção e suporte técnico. A estimativa efetuada carece de aprofundamento
junto dos fornecedores desta tecnologia. Como estes não pertencem à bolsa de
fornecedores habituais da organização não foi possível efetuar contactos em tempo útil.
Ainda assim, com base nas variáveis conhecidas, é-nos permitido concluir que as
vantagens económicas só se perspectivam a médio/longo prazo e essencialmente através de
duas vertentes: pela melhoria da eficiência operacional e pela substituição, no decorrer do
tempo, dos equipamentos Desktops por Thin Client.
Na componente de hardware prevê-se um aumento do custo pela necessidade de
aquisição de servidores específicos para configuração de máquinas virtuais. Por exemplo,
servidor Hiper-V com as características: Processador X64 Intel VT ou AMD-V;
46
Velocidade igual ou superior a 2 GHZ; RAM com 2GB até 1TB e Disco com 20GB ou
capacidade superior.
O custo com o software também deverá aumentar, pela necessidade de aquisição de
licenças específicas para servidor e para Desktop. A necessidade de aquisição de uma
aplicação para efetuar a gestão técnica centralizada deverá contribuir para a melhoria da
eficiência operacional mas também aumenta o custo na componente de software.
Numa primeira fase deverá verificar-se um acréscimo de trabalho para a equipa
técnica de Back-office, em detrimento da equipa de Front-office, que é remunerada com
uma taxa horária inferior. Esta situação poderá reverter-se posteriormente, numa fase de
maior estabilidade processual.
À medida que forem sendo colocados em utilização equipamentos Thin Client, em
detrimento de Desktops, espera-se uma redução no custo de hardware e também de energia,
pois estes equipamentos consomem muito menos do que os atuais Desktops. Os custos nas
componentes de manutenção e suporte técnico poderão baixar, apesar do custo da função
de BackOffice ser superior ao custo da função de FrontOffice, por ser um modelo de gestão
centralizada e estimarmos mais eficiência na gestão dos ambientes de trabalho.
Conclui-se que uma implementação desta natureza não prevê redução de custos
imediata e só poderá ser justificada pela vertente dos benefícios a médio/longo prazo.
Neste momento defendemos a realização de um protótipo junto de um grupo restrito
e heterogéneo de colaboradores, antes de se proceder a uma implementação mais alargada.
A utilidade desses testes seria avaliar na prática as eventuais dificuldades de
integração e do funcionamento deste modelo com a envolvente de SI/TI existente na
organização. Conjuntamente identificar-se-iam as alterações que os colaboradores teriam
de enfrentar com a implementação deste conceito e poder-se-ia elaborar um guião que
contribuísse e facilitasse a gestão da mudança e a formação junto dos colaboradores.
4.2. Serviço de Gestão e Armazenamento de Correio Eletrónico, na Cloud
Na busca de redução de custos e melhorar internamente o serviço de gestão e arquivo
de correio electrónico, procurámos comparar soluções de mercado em Cloud junto dos
sites de três fornecedores.
A heterogeneidade das opções encontradas exigiu que se definisse um referencial
base de comparação. Como estes fornecedores tinham soluções com uma mesma
47
capacidade disponibilizada nas caixas de correio: 25GB, tomou-se essa variável como
referencial.
Analisaram-se as componentes de capacidade da mailbox disponibilizada e do
respetivo armazenamento, aplicações office e outras ferramentas incorporadas no serviço
de Cloud de cada fornecedor.
Com o referencial de 25GB, o custo anual unitário por mailbox variava entre 40€ e
67€. A funcionalidade de armazenamento, custeada em separado e com valores entre 23€ e
600€, não era comparável entre os diferentes fornecedores. Para dois deles, o custo era por
mailbox, um limitava o armazenamento a 10 anos, o outro a 100GB. Para o terceiro, o
custo do armazenamento baseava-se no espaço ocupado pelo conjunto de caixas de correio
contratadas. As aplicações incorporadas nos serviços são proprietárias de cada fornecedor
de Cloud.
A diversidade de componentes e suas variantes tornou demasiado complexa a tarefa
de comparação de soluções.
Com uma relação contratual em vigor entre a ANA, Aeroportos e a Microsoft ainda
por mais dois anos, e sendo este um dos três fornecedores analisados, foram encetados
contactos com este fornecedor, para explorar a viabilidade de uma eventual transição do
atual pacote de licenciamento empresarial para a solução empresarial de MsOffice365.
Esta solução é disponibilizada em modelo de uso por subscrição, em Cloud do fornecedor.
Os produtos incorporados nesta solução são: Exchange Online, Office Professional Plus,
SharePoint Online e Lync Online e as funcionalidades disponíveis ao utilizador variam em
função dos pacotes de serviços subscritos, num total de seis variantes de pacotes.
A análise ao licenciamento em vigor com vista à eventual conversão para esta
solução enquadrou os utilizadores da organização em dois pacotes de subscrição.
4.2.1.
Vantagens
As vantagens identificadas pelo fornecedor desta solução de serviço de correio
electrónico em Cloud:
− Dispor de mais espaço disponível nas caixas de correio eletrónico (passando dos
atuais 500MB disponibilizados nos servidores internos, para 25GB);
− Redução do tempo de administração e gestão do serviço de e-mail, libertando os
técnicos para outras tarefas de maior valor acrescentado;
48
− SLAs de 99,9% com garantia financeira;
4.2.2.
Condicionantes
Esta solução de serviço de correio eletrónico na Cloud do fornecedor pode originar:
− Dificuldade de interligação com ferramentas de outros fornecedores;
− Dependência das comunicações para o exterior, pela necessidade de dispor de
ligação à internet em permanência;
− Eventual dificuldade na migração dos dados para outro fornecedor ou em reverter
a situação para assumir novamente o serviço internamente;
− Risco de suspensão do serviço por parte do fornecedor, caso porventura se
verifique atraso processual no pagamento de faturas.
4.2.3.
Exequibilidade
A migração dos dados para a Cloud do fornecedor exige análise da largura de
banda disponível para comunicações, pois poderá não ser suficiente, configuração da
Active Directory (AD) e das caixas de correio.
O impacto de transitar o serviço corporativo de e-mail para a Cloud de fornecedor é
transversal a toda a organização, no entanto, acreditamos que a adaptação estará facilitada
pelo facto de muitos colaboradores possuírem já maibox em Cloud, para uso privado.
Na vertente económica procurou-se estimar o impacto da adoção desta solução em
Cloud no ambiente de trabalho, considerando que todos os ambientes de trabalho têm o
serviço de correio eletrónico incorporado. Na análise de custeio consideraram-se as
componentes: hardware posto de trabalho, servidores de Exchange, software Microsoft dos
ambientes de trabalho e servidores, energia, manutenção e suporte técnico.
A transferência do serviço de gestão e armazenamento, para a Cloud do fornecedor,
permite reduzir o esforço de trabalho das equipas técnicas internas, o custo de energia em
Datacenter e libertar servidores. O custo da componente de software é transferido na
mesma proporção para a subscrição do serviço em Cloud. A necessidade de permanente
ligação dos colaboradores à internet, para acesso às caixas de correio que se encontram na
Cloud do fornecedor, poderá resultar num eventual aumento dos custos em comunicações.
49
4.3. Conclusão
Ambos os conceitos analisados podem ter impacto na forma de trabalhar dos
colaboradores. Embora o impacto de um e de outro conceito se preveja diferente, é
necessário traçar um plano para gerir a mudança e acompanhar os colaboradores nas suas
preocupações e expectativas.
O Serviço de Gestão e Armazenamento de Correio Eletrónico, na Cloud
proporcionam: maior controlo dos custos, gestão mais eficiente e mais capacidade
disponível para armazenamento da informação. Na componente económica, a conclusão
apontou para uma redução média de 5%, ou seja, cerca de 40€ por ano e por ambiente de
trabalho corporativo. Propõe-se que se efetue um protótipo que identifique eventual perda
de funcionalidades, comparativamente à situação atual, particularmente para os
colaboradores cujas subscrições limitem algumas funcionalidades. A advertência vai para o
cuidado na relação contratual e na definição de níveis de serviço adequados à organização.
Para a virtualização de desktops, ainda que em servidores de Datacenter interno,
partilhamos da opinião de Song (2011) quando este refere que a virtualização de desktops
pode tornar-se num benefício alcançável e mensurável, mas uma organização só deve
avançar com implementação de modelos de virtualização de desktops, depois de
compreender quais os benefícios que a virtualização de desktops pode proporcionar ao seu
ambiente operacional de TI e não apenas por motivos económicos.
Os protótipos que se propõem poderão ajudar a clarificar se estamos ou não no
momento certo para avançar com estas implementações.
50
5. Conclusões e Perspetivas de Trabalho Futuro
O conceito de Cloud Computing e todos os aspetos que lhes estão relacionados estão
a evoluir com muita rapidez.
5.1. Conclusões
Tem-se verificado que cada fornecedor adapta o conceito “Cloud Computing
segundo a sua competência ou especialidade. O mercado de serviços em Cloud ainda
necessita de boas práticas e de standards universalmente aceites entre fornecedores e
fabricantes relacionadas, essencialmente, com a interoperacionalidade, segurança e
confidencialidade dos dados que circulam entre Clouds. Rosenberg e Mateos (2011)
acreditam que essa realidade chegará dentro de poucos anos. A Comissão Europeia (2012)
tem vindo a reforçar esta convicção, com propostas de reformas significativas de legislação
aplicável em toda a UE.
Este conceito vem proporcionar às pequenas organizações ou novos empreendedores
colocarem-se em condições de igualdade com organizações de maior dimensão, no que
respeita ao acesso a recursos tecnológicos sem investimentos.
Organizações que têm já as suas infraestruturas de Datacenter implementadas e
operacionais, que disponibilizam já um abrangente conceito de mobilidade aos seus
colaboradores no acesso em segurança pelo exterior à rede da organização, como é o caso
da ANA, Aeroportos, podem não ver vantagens económicas na contratação de alguns
serviços em Cloud, pelo menos nas condições do mercado atual.
A consultora Forrester (2011), num inquérito efetuado a 546 empresas com 500 ou
mais colaboradores, revela que as Organizações estão no estádio inicial de adoção de
novos conceitos de desktop e aplicações móveis. Refere ainda que mais de metade das
organizações consultadas identificou o conceito de Client Virtualization para entrega de
soluções de computação mais flexíveis para os seus colaboradores, um desafio crítico ou
com prioridade alta para os próximos 12 a 18 meses.
A substituição do ambiente de trabalho por um desktop virtual em Datacenter da
organização é uma possibilidade a ser testada. Este é um desafio que vai para além dos
aspetos técnicos. Parece não existir uma solução tecnológica universal para todos os
utilizadores. Da literatura existente no momento fica-nos a perceção de que o futuro parece
encaminhar-se para a adoção de modelos diferenciados de virtualização de ambientes de
51
trabalho nas organizações, em resposta a colaboradores cada vez mais conectados, mais
móveis e exigentes.
A adoção de soluções alternativas de Cloud deve ser equacionada depois de
ponderadas as vantagens e riscos associados aos diferentes modelos. E por ser a gestão dos
riscos apontada como um dos maiores desafios na adoção deste conceito, sugere-se a
construção de uma matriz de avaliação dos riscos associados aos processos e áreas que
vierem a ser identificadas com potencialidade de desenvolvimento através das TIC. Essa
avaliação pretende facilitar a seleção de soluções que melhor sirvam a organização, seja
em modelos de serviços de Cloud Computing ou outros.
5.2.
Perspetivas de Trabalho Futuro
Como perspetiva de trabalho futuro poderia ser interessante explorar a ideia de um
modelo de negócio para a venda de serviços baseados nas infraestruturas da organização
para servir, por exemplo, os Stakeholders do ambiente aeroportuário. Deste modo,
procurar-se-ia aproveitar o know-how existente na organização e rentabilizar o elevado
investimento em infraestruturas de Datacenter e de continuidade de negócio, já realizado.
Do lado da procura de potenciais clientes, poderia ser importante empreender uma
prospeção de mercado junto dos stakeholders da comunidade aeroportuária, no sentido de
aferir o grau de recetividade à ideia.
Do lado da ANA, Aeroportos também se deveria aferir o grau de adequação das suas
infraestruturas à eventual prestação de serviços. Neste sentido, parece-nos ser de vital
importância a ANA, Aeroportos efetuar um estudo, apoiada em parceiros internacionais
com experiência na implementação deste tipo de infraestruturas orientadas ao fornecimento
de serviços em Cloud.
É expectável que haja necessidade de adaptações na infraestrutura de comunicações
ou outras que o estudo evidencie como necessárias, mas cremos que este é o momento para
a Organização estudar oportunidades de negócio nesta área.
A análise desta oportunidade deveria consubstanciar-se num modelo de negócio a
apresentar ao Conselho de Administração, no caso de se concluir ser um negócio que
proporcione vantagens para a ANA, Aeroportos, S.A.
52
Referências
Albizu, J. (2011). Gestão de Sistemas. Feira CEBIT. Disponível em: 21,1,2012, em: http://www.alinvest4.eu/attachments/CeBIT%202011%20-%20Ficha%20Gest%C3%A3o%20de%20Sistemas%20port.pdf
ANA, Aeroportos de Portugal, S.A. (2012). Relatório de Sustentabilidade 2011.Disponível em:12,6,2012, em:
http://www.ana.pt/ngt_server/attachfileu.jsp?look_parentBoui=128665166&att_display=y&att_download=y
ANA (2012). Relatório e Contas 2011.Disponível em:12,6,2012, em:
http://www.ana.pt/ngt_server/attachfileu.jsp?look_parentBoui=127584398&att_display=y&att_download=y
Babcock, C. (2010). Management Strategies for the Cloud Revolution. McGrow-Hill.
Ben-Shaul, I. (2011). Hybrid Desktop Virtualization: A New Approach for the Cloud. Virtual-strategy
Magazine. Disponível em: 15,1,2012, em: http://www.virtual-strategy.com/2011/05/11/hybrid-desktopvirtualization-new-approach-cloud
Brenton, C. (2012). The Basics of Virtualization Security. Disponível em: 20,3,2012 em:
https://cloudsecurityalliance.org/wp-content/uploads/2011/11/virtualization-security.pdf
Brandl, R. (2007). Services and resource profiles as metrics for the allocation of IT
infrastructure costs. Disponível em: 21,1,2011, em: ftp://ftp.ifi.uzh.ch/pub/ais/wi2007-2/wi-2007-2-052.pdf
Bote-Lorenzo, M., Dimitriadis, Y., Gomez-Sanchez, E. (2004). Grid Characteristics and Uses: a Grid
Definition. Disponível em: 30,6,2012, em: http://www.gsic.uva.es/uploaded_files/BoteACG03.pdf
Cardoso, A. (2011). Cloud computing: a aplicabilidade da ITIL na migração para a cloud. Universidade
Portucalense. Disponível em: 3,10,2011 em: http://2011.jornadas.fccn.pt/AgendaDetalhe08_208141501
Carneiro, A. (2002). Introdução à Segurança dos Sistemas de Informação. FCA-Editora de Informática Lda.
Castro, L. A. S. (2009). Controlo de Infra-estruturas de Cloud Computing. Tese de Mestrado. Universidade
de Aveiro. Disponível em: 20,6,2011 em: http://biblioteca.sinbad.ua.pt/teses/2010000970
Cloud Computing Use Case Discussion Group (2010). Cloud Computer uses cases white paper version 4.0.
Disponível em: 15,1,2012, em: http://cloudusecases.org/
Cloud Security Alliance, Disponível em: 2,3,2012 em: https://cloudsecurityalliance.org/education/whitepapers-and-educational-material/
Cloud Standard Customer Council, Disponível em: 2,3,2012 em: http://www.cloud-council.org/
Computerworld (2012). Comissão Europeia desdramatiza localização de dados. Disponível em:30,4,2012 em:
http://www.computerworld.com.pt/2012/06/14/comissao-europeia-desdramatiza-localizacao-de-dados/
Dalakov, G. (2012). Internet conquers the world, Disponível em: 27,4,2011:
http://history-computer.com/Internet/Birth/Licklider.html
Duffy, C. (2011). Assessing Enterprise Risk in the Cloud, Sarbanes-Oxley in Compliance Journal.
Disponível em:5,10,2011 em http://www.s-ox.com/dsp_getFeaturesDetails.cfm?CID=2743
Euro Cloud Group, Disponível em:2,3,2011 em: http://www.eurocloud.org/
European Commission (2012). Commission proposes a comprehensive reform of the data protection rules.
Disponível em:30,4,2012 em: http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm:
53
European Commission (2012). How will the EU’s reform adapt data protection rules to new technological
developments?. Disponível em:30,4,2012 em: http://ec.europa.eu/justice/dataprotection/document/review2012/factsheets/8_en.pdf
Forrester Consulting (2011). IT Leaders Embrace Virtual Desktops That Require Hybrid Tools, Skills And
Managed Services. Disponível em:5,1,2012 em:
http://www.dimensiondata.com/Lists/Downloadable%20Content/TheClientVirtualisationImperativeAForrest
erConsultingThoughtLeadershipPaperCommissioned_129603870467812500.pdf
Gens, F. (2010) Top 10 Predictions. Disponível em:23,4,2011 em:
http://www.idc.com/research/predictions11/downloads/IDCPredictions2011_WelcometotheNewMainstream.
pdf
Greer, M. (2012). The Practical Guide to Cloud Service Level Agreements. Disponível em:20,4,2012 em:
http://www.cloud-council.org/PGCloudSLA040512MGreer.pdf
Hogben, G. & Dekker, M.(2011). Procure Secure: A guide to monitoring of security service levels in cloud
contracts. Disponível em:20,4,2012 em: http://www.enisa.europa.eu/activities/applicationsecurity/test/procure-secure-a-guide-to-monitoring-of-security-service-levels-in-cloud-contracts
Instituto Fraunhofer (2008). PCvsThinClient. Disponível em:4,10,2011 em:
http://it.umsicht.fraunhofer.de/PCvsTC/index_en.html
International Data Corporation (IDC, 2010). Cloud Computing: Estão os CIOs preparados para os novos
desafios de gestão?. Disponível em:1,4,2011 em: Intranet ANA.
Mamede, H. (2011). DataCenter 3.0 - Converged Infrastructure. Disponível em: 21,1,2012 em:
http://www.reditus.pt/files/eventos/002_workshop_virtualizacao.pdf
Mell, P. & Grance, T. (2011). The NIST Definition of Cloud Computing. Disponível em:21,1,2012 em:
http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf
Moody, K. (2011). A Discussion about Desktop as a Service, VDI and Terminal Services: The Good, the Bad
and the Ugly?. Disponível em:11,2,2012 em: http://blogs.citrix.com/2011/07/22/a-discussion-about-desktopas-a-service-vdi-and-terminal-services-the-good-the-bad-and-the-ugly/
Myerson, J. (2009). Cloud computing versus grid computing. Disponível em:24,6,2012
em:http://www.ibm.com/developerworks/web/library/wa-cloudgrid/
National Institute of Standards and Technology (2011). Draft Cloud Computing Synopsis and
Recommendations. Gaithersburg: Badger, L., Grance, T., Patt-Corner, R., Voas, J. Disponível em: 20,6,2011,
em: http://csrc.nist.gov/publications/drafts/800-146/Draft-NIST-SP800-146.pdf
Nguyen, A. (2011). Nuvem privada é o único futuro seguro para grandes empresas. Disponível
em:20,11,2011 em: http://computerworld.uol.com.br/tecnologia/2011/11/18/nuvem-privada-e-o-unicofuturo-seguro-para-grandes-empresas/
Open Cloud Consortium, Disponível em:2,3,2012 em: http://opencloudconsortium.org/
Reding, V. (2011). Keeping darkness out of the cloud. Disponível em:19/1/2012 em:
http://ec.europa.eu/commission_2010-2014/reding/pdf/news/cloud_en.pdf
Rhoton, J. (2010). Cloud Computing Explained: Implementation Handbook for Enterprises. 2nd Edition.
Recursive Press.
Rosenberg, J. & Mateos, A. (2011). The Cloud at Your Service: The when, how, and why of enterprise cloud
computing. Greenwich: MANNING
54
Silva, N., Menezes, N. & Ferreira, R. (2006). O processo de inovação tecnológica em serviços. Disponível
em:15,1,2012 em:
http://www.biblioteca.sebrae.com.br/bds/bds.nsf/6B1921293E7A8DA4832572B2004A4320/$File/NT00035
11E.pdf
Silva, P., Carvalho, H. & Torres, C. (2003). Segurança dos Sistemas de Informação – Gestão Estratégica da
Segurança Empresarial. Lisboa: Centro Atlântico Lda.
Song, I. (2011). MarketScape: Worldwide Desktop Virtualization 2011 Vendor Analysis. IDC. Disponível em:
11,2,2012 em: http://www.citrix.com/site/resources/dynamic/salesdocs/IDCMarketscape0711.pdf
Sosinsky, B. (2011). Cloud Computing Bible. Indianapolis: Wiley Publishing Inc.
Trusted Clouds (2012). Disponível em:5,3,2012 em: http://www.tclouds-project.eu/
Weill, P. & Ross, J.(2004). Ten Principles of IT Governance. Disponível em:4,12,2011em:
http://hbswk.hbs.edu/archive/4241.html
55